Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Uli Ries 45

500.000 US-Dollar Lösegeld: Ransomware-Gangs nehmen Unternehmen aufs Korn

Trojaner

Bild: dpa, Sebastian Kahnert/Archiv

Sicherheitsforscher haben mindestens acht Gruppen ausgemacht, die sich auf Ransomware-Attacken auf Unternehmen spezialisiert haben. Je nach Anzahl der infizierten PCs und Server steigt das Lösegeld. Summen von bis zu 500.000 US-Dollar sind im Spiel.

Sicherheitsforscher haben mindestens acht Gruppen ausgemacht, die sich auf Ransomware-Attacken auf Unternehmen spezialisiert haben. Je nach Anzahl der infizierten PCs und Server steigt das Lösegeld. Summen von bis zu 500.000 US-Dollar sind im Spiel.

Anzeige

Anton Ivanov von Kaspersky berichtet von acht Gruppen wie der Mamba-Gruppe oder PetrWrap, die Krypto-Trojaner gezielt auf Unternehmen loslassen, nachdem sie sich teilweise monatelang im Netzwerk umgesehen und Datenbestände abgesaugt haben. Dabei bedienen sich Mamba, PetrWrap und Co. erschiedener Trojaner und Einstiegswege, um die Schädlinge ins Unternehmensnetz zu bekommen: Mamba beispielsweise verwendet die Open-Source-Software Diskcryptor und passt sie mit einem eigens für diesen Zweck programmierten Wrapper an die jeweilige Anforderung an.

Der Einstieg passiert über verwundbare, aus dem Internet zugängliche Server des Unternehmens; wie die Angreifer die Server ausmachen, wollte Ivanov nicht sagen. Klar ist aber, dass die Kriminellen per Exploit die Open-Source-Software Pupy auf dem Server installierten. Pupy ist ein Remote Access Tool (RAT), mit dem weitere Software wie PSExec nachgeladen und so weitere Maschinen im Netzwerk übernommen werden können. Per PSExec wird letztendlich die Krypto-Malware auf die übrigen Rechner im Netzwerk geschickt. Verschlüsselt wird dann in der Regel nachts. So soll verhindert werden, dass beispielweise durch das Verschlüsseln eines Datenbankservers noch während des Vorgangs jemand auf das Problem aufmerksam wird. Denn die Malware beendet zuerst den Datenbank-Prozess, um ungestört auf die Datei zugreifen zu können.

Eine andere von Ivanov beobachtete Gruppe wurde PetrWrap getauft, weil sie sich der bereits existierenden Ransomware Petya bedient und sie per Wrapper anpasst. So werden auf diesem Weg beispielsweise die Krypto-Algorithmen ausgetauscht und die Verbindung zum eigentlich notwendigen Cloud-Backend aus der Datei genommen.

In einzelnen Fällen diene das Aktivieren der Ransomware lediglich der Ablenkung vom zuvor erfolgten Datendiebstahl, so Anton Ivanov im Gespräch. IT-Experten im Unternehmen des Opfers sind zu sehr mit den verschlüsselten Servern und PCs beschäftigt, als dass sie sich auf die Suche nach einem Datenleck und dessen Folgen machen könnten.

Im Fall einer einzelnen Gruppe konnten die Sicherheitsforscher im Laufe von drei Monaten Zahlungen von Opfer in Höhe von 500 Bitcoins nachvollziehen, also gut 530.000 Euro. Wie viele Opfer welche Beträge gezahlt haben, ist unklar. Fest steht, dass Preise von 1 Bitcoin pro verschlüsseltem PC oder Server aufgerufen werden. Kann ein Unternehmen so viel Geld nicht auftreiben, lassen sich die Kriminellen auch auf niedrigere Beträge ein.

Nicht alle Gruppen müssen per Exploit in die Netzwerke eindringen. Laut Ivanov kaufte eine andere Kriminellen-Gang Remote-Desktop-Zugänge zu Windows-Rechnern in Unternehmensnetzwerken, um die Netze dann von dem Rechner aus auszukundschaften. In einzelnen Fällen nutzten die Kriminellen ihre Zugänge auch, um von existierenden E-Mail-Konten des attackiertenUnternehmens E-Mails an deren Kontakte zu schicken – mit der Ransomware im Anhang.

In welchen Ländern die Gangs zuschlagen, wollte der Kaspersky-Forscher nicht im Detail sagen. So wurde nur klar, dass in Brasilien, den USA und in nicht näher genannten europäischen Ländern solche gezielten Attacken stattfanden. (Uli Ries) / (ovw)

45 Kommentare

Themen:

Anzeige
  1. Alles, was wir bisher über den Petya/NotPetya-Ausbruch wissen

    Alles was wir bisher über den Petya-Ausbruch wissen

    Ein riesiger Ausbruch eines weiteren Erpressungstrojaners hält die Welt in Atem. Wie kam es zu dem Angriff, wer profitiert davon und was kann ich unternehmen, um mich zu schützen? Wir haben den aktuellen Wissensstand zusammengetragen.

  2. "For England, James": Malwarebytes rettet Petya-Opfer mit Entschlüsselungstool

    For England, James: Malwarebytes rettet Petya-Opfer mit Entschlüsselungstool

    Opfer der Verschlüsselungstrojaner Mischa, Red Petya, Green Petya und Goldeneye können mit Hilfe der Software ihre Daten retten und in vielen Fällen sogar den MBR wiederherstellen; vorausgesetzt, dass sie die verschlüsselten Platten noch haben.

  3. Petya/NotPetya: Kein Erpressungstrojaner, sondern ein "Wiper"

    Petya/NotPetya: Kein Erpressungstrojaner sondern ein "Wiper"

    Nach eingehenden Analysen des Schädlings NotPetya sind sich die meisten Experten einig: Der Schädling hatte es nicht auf Geld abgesehen, sondern auf Randale, sprich: auf möglichst großen Datenverlust bei den Opfern.

  4. Marktwert von im Darknet verkauften Erpressungstrojanern um 2500 Prozent gestiegen

    Marktwert von im Darknet verkauften Erpressungstrojanern um 2500 Prozent gestiegen

    Sicherheitsforschern zufolge finden sich auf verschiedenen Online-Schwarzmärkten rund 45.000 Verschlüsselungstrojaner-Angebote. Der durchschnittliche Preis für einen Schädling beträgt rund 10 US-Dollar.

  1. Ransomware: So entfernst du Verschlüsselungs-Trojaner

    Wenn deine Daten von einem Verschlüsselungs-Trojaner gekapert wurden, heißt es: Ruhe bewahren. Wir zeigen, was du gegen Ransomware tun kannst.

  2. BKA bis WannaCry: Geschichte der Erpressungs-Trojaner

    Vom BKA-Trojaner zu Goldeneye: Die Geschichte der Erpressungs-Trojaner

    Derzeit verbreitet der Erpressungs-Trojaner WannaCry Angst und Schrecken. Das Geschäft mit gekaperten Rechnern und verschlüsselten Daten gibt es schon lange – zu Beginn lief es noch über Disketten.

  3. Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

    An der Tastatur

    Bislang konnten sich Mac-Nutzer relativ sicher fühlen. Inzwischen kursierte aber die erste Ransomware im Netz, die auch OS X infiziert. Sie verschlüsselt Daten und erpresst Lösegeld vom Anwender. Mac & i zeigt, wie Sie sich generell vor Malware schützen können und nennt die Hintergründe.

  1. Firefox Quantum auf 170 Millionen Geräten installiert

    Firefox Quantum auf 170 Millionen Geräten installiert

    Mozilla feiert, denn Firefox Quantum kommt bei den Nutzern gut an. Inzwischen läuft das "größte Update aller Zeiten" auf 170 Millionen Endgeräten. Auch die Firefox-Apps profitieren von der Aufmerksamkeit.

  2. Abgas-Skandal: Unzulässige Abschalteinrichtung im VW Touareg – KBA verordnet Rückruf

    Abgas-Skandal: Unzulässige Abschalteinrichtung im VW Touareg – KBA verordnet Rückruf

    Die Halter von 25.800 VW Touareg erhalten demnächst Post von VW. Ihre Autos sollen eine neue Motorsoftware bekommen.

  3. Klartext: The Real GT

    Audi

    Schnelle Kombis sind die eigentlichen GT-Wagen, denn während die Maseratis dieser Welt in leeren Hallen am Batteriejogger vereinsamen, fressen Autos wie Audis RS 4 Avant Kilometer, als gäbe es morgen keine. Sie schaffen den GT-Spagat einfach besser

  4. Fallout 4 VR im Livestream: Mit der Vive im Wasteland unterwegs

    Fallout 4 VR im Livestream: Mit der Vive im Wasteland unterwegs

    c't-Redakteur Jan-Keno Janssen stellt sich heute nur mit einer Vive bewaffnet den Herausforderungen der Postapokalypse in Fallout 4 VR. Der Livestream startet um 16 Uhr. Übrigens: Das Spiel läuft auch mit Oculus Rift, allerdings nicht wirklich rund.

Anzeige