Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Uli Ries 45

500.000 US-Dollar Lösegeld: Ransomware-Gangs nehmen Unternehmen aufs Korn

Trojaner

Bild: dpa, Sebastian Kahnert/Archiv

Sicherheitsforscher haben mindestens acht Gruppen ausgemacht, die sich auf Ransomware-Attacken auf Unternehmen spezialisiert haben. Je nach Anzahl der infizierten PCs und Server steigt das Lösegeld. Summen von bis zu 500.000 US-Dollar sind im Spiel.

Sicherheitsforscher haben mindestens acht Gruppen ausgemacht, die sich auf Ransomware-Attacken auf Unternehmen spezialisiert haben. Je nach Anzahl der infizierten PCs und Server steigt das Lösegeld. Summen von bis zu 500.000 US-Dollar sind im Spiel.

Anton Ivanov von Kaspersky berichtet von acht Gruppen wie der Mamba-Gruppe oder PetrWrap, die Krypto-Trojaner gezielt auf Unternehmen loslassen, nachdem sie sich teilweise monatelang im Netzwerk umgesehen und Datenbestände abgesaugt haben. Dabei bedienen sich Mamba, PetrWrap und Co. erschiedener Trojaner und Einstiegswege, um die Schädlinge ins Unternehmensnetz zu bekommen: Mamba beispielsweise verwendet die Open-Source-Software Diskcryptor und passt sie mit einem eigens für diesen Zweck programmierten Wrapper an die jeweilige Anforderung an.

Der Einstieg passiert über verwundbare, aus dem Internet zugängliche Server des Unternehmens; wie die Angreifer die Server ausmachen, wollte Ivanov nicht sagen. Klar ist aber, dass die Kriminellen per Exploit die Open-Source-Software Pupy auf dem Server installierten. Pupy ist ein Remote Access Tool (RAT), mit dem weitere Software wie PSExec nachgeladen und so weitere Maschinen im Netzwerk übernommen werden können. Per PSExec wird letztendlich die Krypto-Malware auf die übrigen Rechner im Netzwerk geschickt. Verschlüsselt wird dann in der Regel nachts. So soll verhindert werden, dass beispielweise durch das Verschlüsseln eines Datenbankservers noch während des Vorgangs jemand auf das Problem aufmerksam wird. Denn die Malware beendet zuerst den Datenbank-Prozess, um ungestört auf die Datei zugreifen zu können.

Erpressung oder Ablenkung?

Eine andere von Ivanov beobachtete Gruppe wurde PetrWrap getauft, weil sie sich der bereits existierenden Ransomware Petya bedient und sie per Wrapper anpasst. So werden auf diesem Weg beispielsweise die Krypto-Algorithmen ausgetauscht und die Verbindung zum eigentlich notwendigen Cloud-Backend aus der Datei genommen.

In einzelnen Fällen diene das Aktivieren der Ransomware lediglich der Ablenkung vom zuvor erfolgten Datendiebstahl, so Anton Ivanov im Gespräch. IT-Experten im Unternehmen des Opfers sind zu sehr mit den verschlüsselten Servern und PCs beschäftigt, als dass sie sich auf die Suche nach einem Datenleck und dessen Folgen machen könnten.

Im Fall einer einzelnen Gruppe konnten die Sicherheitsforscher im Laufe von drei Monaten Zahlungen von Opfer in Höhe von 500 Bitcoins nachvollziehen, also gut 530.000 Euro. Wie viele Opfer welche Beträge gezahlt haben, ist unklar. Fest steht, dass Preise von 1 Bitcoin pro verschlüsseltem PC oder Server aufgerufen werden. Kann ein Unternehmen so viel Geld nicht auftreiben, lassen sich die Kriminellen auch auf niedrigere Beträge ein.

Nicht alle Gruppen müssen per Exploit in die Netzwerke eindringen. Laut Ivanov kaufte eine andere Kriminellen-Gang Remote-Desktop-Zugänge zu Windows-Rechnern in Unternehmensnetzwerken, um die Netze dann von dem Rechner aus auszukundschaften. In einzelnen Fällen nutzten die Kriminellen ihre Zugänge auch, um von existierenden E-Mail-Konten des attackiertenUnternehmens E-Mails an deren Kontakte zu schicken – mit der Ransomware im Anhang.

In welchen Ländern die Gangs zuschlagen, wollte der Kaspersky-Forscher nicht im Detail sagen. So wurde nur klar, dass in Brasilien, den USA und in nicht näher genannten europäischen Ländern solche gezielten Attacken stattfanden. (ovw)

45 Kommentare

Themen:

Anzeige
  1. Erpressungs-Trojaner HDDCryptor soll Computer von Opfern abriegeln

    Erpressungs-Trojaner HDDCryptor soll Computer von Opfern abriegeln

    HDDCryptor verschlüsselt nicht nur Daten, sondern überschreibt offensichtlich auch den MBR von Windows-Computern und gibt infizierte Rechner erst nach einer Lösegeld-Zahlung wieder frei, warnen Sicherheitsforscher.

  2. Krypto-Trojaner: Lockys gieriger Bruder verlangt über 2000 Euro Lösegeld

    Krypto-Trojaner: Lockys gieriger Bruder verlangt über 2000 Euro Lösegeld

    Nicht nur der Erpressungs-Trojaner GoldenEye ist derzeit ein Ärgernis, auch die Verwandschaft des berüchtigten Locky-Trojaners geht weiter auf Raubzug. Eine Osiris genannte Variante schlägt derzeit vermehrt zu und verlangt ein saftiges Lösegeld.

  3. Erpressungs-Trojaner Petya riegelt den gesamten Rechner ab

    Erpressungs-Trojaner Petya riegelt den gesamten Rechner ab

    Eine neue Ransomware hat es aktuell auf deutschsprachige Windows-Nutzer abgesehen. Petya wird über Dropbox verteilt und manipuliert die Festplatte, wodurch das Betriebssystem nicht mehr ausgeführt werden kann.

  4. Erpressungs-Trojaner CryptXXX rutscht Schlüssel kostenlos raus

    Erpressungs-Trojaner CryptXXX rutscht Schlüssel kostenlos raus

    Opfer der Ransomware CryptXXX sollten sich umgehend auf der Bezahl-Webseite einloggen: Unter Umständen taucht dort ohne zu Bezahlen der Schlüssel zum Dechiffrieren der eigenen Daten auf.

  1. Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

    An der Tastatur

    Bislang konnten sich Mac-Nutzer relativ sicher fühlen. Inzwischen kursierte aber die erste Ransomware im Netz, die auch OS X infiziert. Sie verschlüsselt Daten und erpresst Lösegeld vom Anwender. Mac & i zeigt, wie Sie sich generell vor Malware schützen können und nennt die Hintergründe.

  2. Analysiert: Ransomware meets Info-Stealer - RAA und das diebische Pony, Teil II

    Analysiert: Ransomware meets Info-Stealer - RAA und das diebische Pony

    Wie diese Analysiert:-Folge enthüllt, weist die scheinbar perfekte Verschlüsselung des RAA-Trojaners doch Lücken auf. Auch der von RAA gestartete Passwort-Dieb kann sich mit seinen Anti-Debugging-Tricks der Analyse nicht entziehen.

  3. Analysiert: Ransomware meets Info-Stealer - RAA und das diebische Pony

    Analysiert: Ransomware meets Info-Stealer - RAA und das diebische Pony

    Im Rahmen unserer Analysiert:-Serie geht es diesmal einem Erpressungs-Trojaner an den Code: Olivia von Westernhagen untersucht den in JavaScript realisierten RAA-Trojaner, der gleich auch noch eine Passwort-Klau-Malware im Gepäck hat.

  1. Amazon kündigt Ende der kostenlosen Apps an.

    Amazon kündigt Ende der kostenlosen Apps an.

    Amazon hat die Einstellung des Underground-Angebots angekündigt. Über Underground konnten üblicherweise kostenpflichtige Apps umsonst bezogen werden. Ab Ende Mai sollen keine neuen Apps mehr dazukommen. 2019 verschwindet das Angebot endgültig.

  2. Welche Kamera für den Urlaub?

    Welche Kamera für den Urlaub?

    Action-Cam, Fotoapparat, Camcorder? Oder reicht das Smartphone als Überall-Kamera für vorzeigbare Videos aus?

  3. Zwei Jahre Apple Watch: Fast so groß wie Rolex

    Apple Watch in Berlin

    In dieser Woche feiert die Computeruhr aus Cupertino runden Geburtstag. Mac & i blickt zurück.

  4. Weil ich mir nichts mehr wert bin

    Arbeitslosengeld II: Schleichendes Gift für die Psyche, Teil 2

Anzeige