Worst of… Schadsoftware

11 historische Malware-Angriffe

18.09.2022
Von  und
Josh Fruhlinger ist freier Autor in Los Angeles.


Florian Maier beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.
Ob nun durch pures Glück oder auf Basis ruchloser Raffinesse - diese elf Malware-Attacken haben nachhaltige Spuren in der digitalen Welt hinterlassen.
Diese elf Malware-Meilensteine haben die Evolution von Schadsoftware maßgeblich geprägt.
Diese elf Malware-Meilensteine haben die Evolution von Schadsoftware maßgeblich geprägt.
Foto: local doctor - shutterstock.com

Schadsoftware, die sich unter mysteriösen Umständen ausbreitet, ist seit Dekaden fester Bestandteil von Cyberpunk-Stories - und solchen aus dem Real Life.

Worst of… Malware-Angriffe

Dieser Artikel beleuchtet elf Meilensteine der Malware-Evolution - von der Premiere der Schadsoftware über fiese Trojaner bis hin zu modernen Ransomware-Attacken mit Schäden in Millionenhöhe.

1. Creeper-Virus (1971)

Im Jahr 1966 wurde John von Neumanns "Theory of Self-Reproducing Automata" (PDF) posthum veröffentlicht. Darin stellt der Mathematiker das Konzept eines sich selbst reproduzierenden Computercodes vor. Bereits fünf Jahre später tauchte der erste bekannte Computervirus namens Creeper auf - geschrieben in der PDP-10-Assembler-Sprache. Der Virus war in der Lage, sich selbst zu reproduzieren und sich über das gerade entstehende ARPANET von Rechner zu Rechner zu verbreiten. Creeper war dabei keine Schadsoftware im eigentlichen Sinn: Entwickler Bob Thomas wollte damit lediglich beweisen, dass das Konzept von von Neumann funktioniert. Deswegen veranlasste der Virus angeschlossene Teletype-Fernschreiber lediglich dazu eine Textnachricht auszudrucken: "I'M THE CREEPER: CATCH ME IF YOU CAN"

Trotz seiner harmlosen Natur ist der Creeper-Virus von signifikanter Bedeutung für die Evolution der Malware. Schließlich bildet er die Grundlage, für alles, was auf ihn folgte. Kurz nachdem Creeper auf die "Öffentlichkeit losgelassen" wurde, war es Ray Tomlinson - Erfinder der E-Mail - der mit einem programmierten Gegenmittel - Reaper -, den Code von Creeper eliminierte.

2. Brain-Virus (1986)

Creeper wurde entwickelt, um sich über Computernetzwerke zu verbreiten. Allerdings war dieser Angriffsvektor in den 1970er und 1980er Jahren begrenzt - die meisten Rechner arbeiteten isoliert. Die Verbreitung von Malware fand zu dieser Zeit im Wesentlichen über Disketten statt. Das früheste Beispiel für eine Schadsoftware dieser Art ist ElkCloner - entwickelt von einem 15-Jährigen, "just for fun" und maßgeschneidert für Apple-II-Computer.

Der bedeutendste Computervirus der Generation Diskette war jedoch Brain, der sich ab 1986 weltweit verbreitete und als erster IBM-PC-Virus gilt. Entwickelt wurde er von dem Programmierer-Brüderpaar Amjad und Basit Farooq Alvi in Pakistan, die sich ihren Lebensunterhalt mit medizinischer Software verdienten. Da ihre Programme häufig raubkopiert wurden, entwickelten sie einen Virus, der in der Lage war, den Bootsektor raubkopierter Disketten zu infizieren. Brain war dabei relativ harmlos - er enthielt lediglich Kontaktinformationen der Entwickler, mit dem Angebot die Software zu "desinfizieren". Die Entwickler-Brüder zeigten sich selbst 25 Jahre später noch schockiert darüber, wie schnell sich Brain auf der ganzen Welt verbreitet hatte. Und darüber, wie wütend die Menschen, die ihre Software illegal kopiert hatten, aus irgendeinem Grund auf sie waren. Trotzdem haben sie immer noch dieselbe Adresse und Telefonnummer.

3. Morris-Wurm (1988)

Die Malware Morris debütierte im Jahr 1988 und kann gleich mehrere Premieren für sich beanspruchen:

  • Er war der erste Computerwurm, der sich ohne ein "Hilfsprogramm" reproduzieren konnte.

  • Um sich möglichst schnell möglichst weit zu verbreiten, nutzte Morris mehrere Sicherheitslücken aus.

  • Obwohl nicht darauf konzipiert, war es die erste Malware, die größeren, finanziellen Schaden anrichten konnte.

Der Morris-Wurm verbreitete sich mit rasender Geschwindigkeit: Innerhalb von 24 Stunden waren bereits zehn Prozent aller mit dem Internet verbundenen Computer infiziert. Die Schadsoftware kopierte sich auf befallenen Rechnern mehrmals selbst, was diese mehrheitlich in die Knie zwang. Die geschätzten Kosten des Angriffs gingen in die Millionen. Benannt ist der Wurm nach seinem Schöpfer Robert Morris. Der damalige Student der Cornell University betrachtete sein Werk als Proof-of-Concept, das belegen sollte, wie weit verbreitet Sicherheitslücken sind. Dabei ahnte er nicht, welche Dynamik das Projekt annehmen würde und versuchte noch den Schaden abzuwenden, was ihm nicht gelang. Die Konsequenz: eine weitere Premiere. Robert Morris war die erste Person, die auf Grundlage des 1986 eingeführten "Computer Fraud and Abuse Act" verurteilt wurde.

4. ILOVEYOU-Wurm (2000)

Im Gegensatz zu den bisher genannten Malware-Entwicklern hatte der 24-jährige Onel de Guzman im Jahr 2000 ausschließlich kriminelle Absichten. Weil er sich keinen Einwahl-Service leisten konnte, entwickelte er ein Virus, um die Passwörter anderer Nutzer zu stehlen und ihre Accounts zu übernehmen. Dabei nutzte die Schadsoftware eine ganze Reihe von Schwachstellen in Windows 95 aus - auf besonders raffinierte Art und Weise. Weil das Legacy-Betriebssystem Dateierweiterungen in E-Mail-Anhängen automatisch versteckte, merkten die meisten Benutzer nicht, dass sie auf Executables klickten. Der Wurm breitete sich wie ein Lauffeuer aus und infizierte Millionen von Rechnern, die daraufhin die Zugangsdaten an eine philippinische E-Mail-Adresse zurückschickten. Dabei löschte ILOVEYOU auch zahlreiche Dateien auf den Zielsystemen. Der Wurm verursachte Schäden in Millionenhöhe und legte kurzzeitig sogar das Computersystem des britischen Parlaments lahm.

Der Schöpfer des Wurms wurde - mangels Gesetze - nie wegen seiner kriminellen Handlungen angeklagt. In einem Interview mit der BBC drückte de Guzman jedoch sein Bedauern aus. Dennoch macht ihn der Wurm zu einer Art Social-Engineering-Pionier. Ihren Namen verdankt die Schadsoftware dem Umstand, dass sie sich über E-Mails mit dem Betreff "ILOVEYOU" verbreitete.

5. Mydoom-Wurm (2004)

Trotzdem der Wurm Mydoom beinahe 20 Jahre auf dem Buckel hat, hält er immer noch eine Reihe von Rekorden.

  • Er infizierte Computer per E-Mail, übernahm Zielrechner und verschickte dann Kopien von sich selbst per E-Mail.

  • Dabei war er so effizient, dass er auf seinem Höhepunkt ein Viertel aller weltweit verschickten E-Mails ausmachte - eine "Leistung", die bis heute nicht übertroffen wurde.

  • Mydoom verursachte einen Schaden von mehr als 35 Milliarden Dollar - ein Wert, der (inflationsbereinigt) ebenfalls noch nie übertroffen wurde.

Dazu kommt, dass der Urheber und der eigentliche Zweck von Mydoom bis heute ein Mysterium sind. Infizierte Computer wurden auch im Rahmen eines Botnetzes verwendet, das wiederum DDoS-Angriffen auf die SCO Group und Microsoft diente. Ersteres Unternehmen versuchte damals Eigentumsrechte an Linux geltend zu machen, weshalb Einige ein abtrünniges Mitglied der Open-Source-Gemeinschaft hinter dem Wurm vermuten. Konkrete Beweise gibt es dafür jedoch nicht.

6. Zeus-Trojaner (2007)

Der Trojaner Zeus wurde erstmals im Jahr 2007 - am Ende der "Web 1.0"-Ära - entdeckt und war für die Zukunft der Schadsoftware wegweisend. Er infizierte seine Zeile per Phishing oder über Drive-by-Downloads und diente als Vehikel für jede Art von bösartigem Payload. Der Quellcode und ein Benutzerhandbuch wurden im Jahr 2011 geleakt, was sowohl für Security-Forscher, als auch für kriminelle Hacker ein gefundenes Fressen war und für zahlreiche neue Varianten sorgte.

Zeus wird auch oft als "Banking-Trojaner" bezeichnet, da die meisten dieser "Ableger" vor allem für diesen Bereich konzipiert waren. Im Jahr 2014 schaffte es eine davon, sich zwischen einen Benutzer und seine Bank-Webseite zu schalten und unter anderem Passwörter und Tastatureingaben abzufangen. Es gibt jedoch zum Beispiel auch Versionen, die darauf ausgelegt sind, Salesforce-Kontoinformationen abzugreifen.

7. CryptoLocker Ransomware (2013)

Zeus kann auch dazu verwendet werden, Botnetze aus befallenen Rechnern zu erschaffen. Die Betreiber eines solchen Botnet mit dem Namen "Gameover Zeus" infizierten ihre Bots mit CryptoLocker, eines der ersten erpresserischen Schadsoftware-Programme. Die Ransomware wurde für ihre rasante Verbreitung und performante, asymmetrische Verschlüsselung "berühmt", die damals schwer zu knacken war.

Im Jahr 2014 gelang es internationalen Behörden, in Kooperation die Kontrolle über das Gameover-Zeus-Botnet zu übernehmen. Die Dateien von CryptoLocker-Betroffenen konnten kostenlos wiederhergestellt werden. Leider verbreitete sich CryptoLocker aber auch per Phishing - bis heute tauchen Varianten der Erpresser-Malware auf.

8. Emotet-Trojaner (2014)

Der Trojaner Emotet ist ein weiteres Beispiel für eine Schadsoftware, deren Funktionalität sich im Laufe seiner aktiven Jahre verändert hat. Darüber hinaus ist Emotet auch ein Paradebeispiel für sogenannte polymorphe Malware. Deren Code verändert sich bei jedem Zugriff leicht, um zu verhindern, dass sie von Endpoint-Security-Software erkannt wird.

Auch Emotet verbreitete sich hauptsächlich über Phishing - erstmals im Jahr 2014. Inzwischen handelt es sich aber - wie im Fall von Zeus - um eine modulare Malware, die als Vehikel für andere Schadsoftware-Formen dient - etwa die Ransomware-Varianten Trickster und Ryuk. Die höchste "Auszeichnung" erhielt der Emotet-Trojaner von Arne Schönbohm, Leiter des Bundesamtes für Sicherheit in der Informationstechnik (BSI), der ihn als "König der Malware" bezeichnete.

9. Mirai-Botnet (2016)

Alle bisher aufgeführten Viren, Trojaner und Würmer haben Computer befallen - die PCs und Laptops, die wir für Arbeit und Freizeit nutzen. Das änderte sich mit dem Mirai-Botnetz, welches schonungslos die Lücken in Sachen IoT-Sicherheit aufdeckte und Devices - hauptsächlich Überwachungskameras - befiel, deren Standardpasswörter nicht geändert worden waren.

Paras Jha, der Student, der die Mirai-Malware entwickelte, wollte die Botnetze für DoS-Angriffe nutzen, um sich an Rivalen in der obskuren Welt des Minecraft-Server-Hosting zu rächen. Stattdessen löste er einen Angriff auf einen großen DNS-Anbieter aus und legte damit das Internet für einen Großteil der US-Ostküste für fast 24 Stunden lahm.

10. Petya Ransomware/NotPetya Wiper (2016/2017)

Ein Ransomware-Trojaner namens Petya befiel im Jahr 2016 erstmals Computer. Obwohl die Malware über einen cleveren Mechanismus verfügte, um Daten auf Zielrechnern zu verschlüsseln, verbreitete sie sich vor allem über herkömmliche Phishing-Methoden und galt als nicht besonders virulent. Sehr wahrscheinlich würde sich heute niemand mehr an den Trojaner erinnern, wäre nicht im Jahr darauf eine neue, sich selbst reproduzierende Variante aufgetaucht, die geleakte NSA-Exploits (Eternal Blue und Eternal Romance) nutzte, um sich zu verbreiten.

Die neue Version mit dem Namen NotPetya nutzte ursprünglich eine Hintertür in einer (vor allem in der Ukraine verwendeten) Buchhaltungssoftware aus, um sich zu verbreiten und richtete in kürzester Zeit großen Schäden an - vornehmlich in Europa. Obwohl NotPetya immer noch wie eine Ransomware aussah, handelte es sich um einen sogenannten Wiper, der schlicht dazu dient, Daten und Systeme zu zerstören. Security-Forscher gehen davon aus, dass der russische Geheimdienst die eher gewöhnliche Petya-Malware umfunktioniert hat, um sie als Cyberwaffe gegen die Ukraine einzusetzen. Damit unterstreicht NotPetya auch die symbiotische Beziehung zwischen staatlich gesponserten und kriminellen Hackern.

11. Clop-Ransomware (2019- )

Clop (manchmal auch Cl0p) ist eine weitere Ransomware-Variante, die 2019 auf der Bildfläche erschien und seitdem immer häufiger auftritt. Das machte die Schadsoftware zu einer der größten Malware-Bedrohungen des Jahres 2022. Clop verhindert nicht nur, dass Betroffene auf ihre Daten zugreifen, sondern ermöglicht es dem Angreifer auch, diese Daten zu exfiltrieren. Der Sicherheitsanbieter McAfee hat die technischen Details analysiert und zeigt auf, wie die Ransomware Sicherheitssoftware umgeht.

Was Clop extrem gefährlich macht, ist allerdings nicht die Art und Weise, wie es eingesetzt wird - sondern von wem. Die Ransomware bildet die Speerspitze des Ransomware-as-a-Service-Trends und kann gegen eine Gebühr - oder einen Anteil am zu erwarteten Lösegeld - quasi von Jedermann gebucht werden.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.