Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Uli Ries 45

500.000 US-Dollar Lösegeld: Ransomware-Gangs nehmen Unternehmen aufs Korn

Trojaner

Bild: dpa, Sebastian Kahnert/Archiv

Sicherheitsforscher haben mindestens acht Gruppen ausgemacht, die sich auf Ransomware-Attacken auf Unternehmen spezialisiert haben. Je nach Anzahl der infizierten PCs und Server steigt das Lösegeld. Summen von bis zu 500.000 US-Dollar sind im Spiel.

Sicherheitsforscher haben mindestens acht Gruppen ausgemacht, die sich auf Ransomware-Attacken auf Unternehmen spezialisiert haben. Je nach Anzahl der infizierten PCs und Server steigt das Lösegeld. Summen von bis zu 500.000 US-Dollar sind im Spiel.

Anzeige

Anton Ivanov von Kaspersky berichtet von acht Gruppen wie der Mamba-Gruppe oder PetrWrap, die Krypto-Trojaner gezielt auf Unternehmen loslassen, nachdem sie sich teilweise monatelang im Netzwerk umgesehen und Datenbestände abgesaugt haben. Dabei bedienen sich Mamba, PetrWrap und Co. erschiedener Trojaner und Einstiegswege, um die Schädlinge ins Unternehmensnetz zu bekommen: Mamba beispielsweise verwendet die Open-Source-Software Diskcryptor und passt sie mit einem eigens für diesen Zweck programmierten Wrapper an die jeweilige Anforderung an.

Der Einstieg passiert über verwundbare, aus dem Internet zugängliche Server des Unternehmens; wie die Angreifer die Server ausmachen, wollte Ivanov nicht sagen. Klar ist aber, dass die Kriminellen per Exploit die Open-Source-Software Pupy auf dem Server installierten. Pupy ist ein Remote Access Tool (RAT), mit dem weitere Software wie PSExec nachgeladen und so weitere Maschinen im Netzwerk übernommen werden können. Per PSExec wird letztendlich die Krypto-Malware auf die übrigen Rechner im Netzwerk geschickt. Verschlüsselt wird dann in der Regel nachts. So soll verhindert werden, dass beispielweise durch das Verschlüsseln eines Datenbankservers noch während des Vorgangs jemand auf das Problem aufmerksam wird. Denn die Malware beendet zuerst den Datenbank-Prozess, um ungestört auf die Datei zugreifen zu können.

Eine andere von Ivanov beobachtete Gruppe wurde PetrWrap getauft, weil sie sich der bereits existierenden Ransomware Petya bedient und sie per Wrapper anpasst. So werden auf diesem Weg beispielsweise die Krypto-Algorithmen ausgetauscht und die Verbindung zum eigentlich notwendigen Cloud-Backend aus der Datei genommen.

In einzelnen Fällen diene das Aktivieren der Ransomware lediglich der Ablenkung vom zuvor erfolgten Datendiebstahl, so Anton Ivanov im Gespräch. IT-Experten im Unternehmen des Opfers sind zu sehr mit den verschlüsselten Servern und PCs beschäftigt, als dass sie sich auf die Suche nach einem Datenleck und dessen Folgen machen könnten.

Im Fall einer einzelnen Gruppe konnten die Sicherheitsforscher im Laufe von drei Monaten Zahlungen von Opfer in Höhe von 500 Bitcoins nachvollziehen, also gut 530.000 Euro. Wie viele Opfer welche Beträge gezahlt haben, ist unklar. Fest steht, dass Preise von 1 Bitcoin pro verschlüsseltem PC oder Server aufgerufen werden. Kann ein Unternehmen so viel Geld nicht auftreiben, lassen sich die Kriminellen auch auf niedrigere Beträge ein.

Nicht alle Gruppen müssen per Exploit in die Netzwerke eindringen. Laut Ivanov kaufte eine andere Kriminellen-Gang Remote-Desktop-Zugänge zu Windows-Rechnern in Unternehmensnetzwerken, um die Netze dann von dem Rechner aus auszukundschaften. In einzelnen Fällen nutzten die Kriminellen ihre Zugänge auch, um von existierenden E-Mail-Konten des attackiertenUnternehmens E-Mails an deren Kontakte zu schicken – mit der Ransomware im Anhang.

In welchen Ländern die Gangs zuschlagen, wollte der Kaspersky-Forscher nicht im Detail sagen. So wurde nur klar, dass in Brasilien, den USA und in nicht näher genannten europäischen Ländern solche gezielten Attacken stattfanden. (Uli Ries) / (ovw)

45 Kommentare

Themen:

Anzeige
  1. Alles, was wir bisher über den Petya/NotPetya-Ausbruch wissen

    Alles was wir bisher über den Petya-Ausbruch wissen

    Ein riesiger Ausbruch eines weiteren Erpressungstrojaners hält die Welt in Atem. Wie kam es zu dem Angriff, wer profitiert davon und was kann ich unternehmen, um mich zu schützen? Wir haben den aktuellen Wissensstand zusammengetragen.

  2. Erpressungs-Trojaner HDDCryptor soll Computer von Opfern abriegeln

    Erpressungs-Trojaner HDDCryptor soll Computer von Opfern abriegeln

    HDDCryptor verschlüsselt nicht nur Daten, sondern überschreibt offensichtlich auch den MBR von Windows-Computern und gibt infizierte Rechner erst nach einer Lösegeld-Zahlung wieder frei, warnen Sicherheitsforscher.

  3. "For England, James": Malwarebytes rettet Petya-Opfer mit Entschlüsselungstool

    For England, James: Malwarebytes rettet Petya-Opfer mit Entschlüsselungstool

    Opfer der Verschlüsselungstrojaner Mischa, Red Petya, Green Petya und Goldeneye können mit Hilfe der Software ihre Daten retten und in vielen Fällen sogar den MBR wiederherstellen; vorausgesetzt, dass sie die verschlüsselten Platten noch haben.

  4. Petya/NotPetya: Kein Erpressungstrojaner, sondern ein "Wiper"

    Petya/NotPetya: Kein Erpressungstrojaner sondern ein "Wiper"

    Nach eingehenden Analysen des Schädlings NotPetya sind sich die meisten Experten einig: Der Schädling hatte es nicht auf Geld abgesehen, sondern auf Randale, sprich: auf möglichst großen Datenverlust bei den Opfern.

  1. BKA bis WannaCry: Geschichte der Erpressungs-Trojaner

    Vom BKA-Trojaner zu Goldeneye: Die Geschichte der Erpressungs-Trojaner

    Derzeit verbreitet der Erpressungs-Trojaner WannaCry Angst und Schrecken. Das Geschäft mit gekaperten Rechnern und verschlüsselten Daten gibt es schon lange – zu Beginn lief es noch über Disketten.

  2. Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

    An der Tastatur

    Bislang konnten sich Mac-Nutzer relativ sicher fühlen. Inzwischen kursierte aber die erste Ransomware im Netz, die auch OS X infiziert. Sie verschlüsselt Daten und erpresst Lösegeld vom Anwender. Mac & i zeigt, wie Sie sich generell vor Malware schützen können und nennt die Hintergründe.

  3. Nato nutzt Ransomware-Angriff

    Nato-Generalsekretär Stoltenberg fordert den Ausbau der Cyber-Verteidigung und erinnert, dass ein Cyberangriff Artikel 5 auslösen kann

  1. Das ungekürzte Originalvideo "2 Girls 1 Cup" und andere schöne Filme

    YouTube und Co. - unsere wöchentliche Telepolis-Videoschau

  2. Google I/O 2016: Google Home legt sich mit Amazons Echo an

    Google Home: sprachgesteuerter Assistent fürs Wohnzimmer greift Amazon an

    Google hat seine eigene Wanze fürs Wohnzimmer vorgestellt: "Home" ist ein WLAN-Lautsprecher, der Befehle per Sprache empfängt. Unter anderem bucht er Tickets, steuert Smart-Home-Zubehör und beantwortet allgemeine Fragen.

  3. Lobby-Bericht E-Privacy: Wie die Industrie starken Datenschutz bekämpft

    Lobby-Bericht E-Privacy: Wie die Industrie starken Datenschutz bekämpft

    Mit Cocktail-Debatten und anhaltenden Kampagnen versucht vor allem die Online-Werbewirtschaft laut der Analyse "Big Data Is Watching You" die Schutzbestimmungen in der geplanten E-Privacy-Verordnung aufzuweichen.

  4. Autonome Minibusse: Easymiles im Interview

    Audi tat sich damit hervor, mit dem A8 das erste normale Auto gebracht zu haben, das im Stau keine Hand mehr am Lenkrad verlangt. Doch im Langsamfahrbereich gibt es längst vollautonome Fahrkabinen

Anzeige