Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Uli Ries 45

500.000 US-Dollar Lösegeld: Ransomware-Gangs nehmen Unternehmen aufs Korn

Trojaner

Bild: dpa, Sebastian Kahnert/Archiv

Sicherheitsforscher haben mindestens acht Gruppen ausgemacht, die sich auf Ransomware-Attacken auf Unternehmen spezialisiert haben. Je nach Anzahl der infizierten PCs und Server steigt das Lösegeld. Summen von bis zu 500.000 US-Dollar sind im Spiel.

Sicherheitsforscher haben mindestens acht Gruppen ausgemacht, die sich auf Ransomware-Attacken auf Unternehmen spezialisiert haben. Je nach Anzahl der infizierten PCs und Server steigt das Lösegeld. Summen von bis zu 500.000 US-Dollar sind im Spiel.

Anton Ivanov von Kaspersky berichtet von acht Gruppen wie der Mamba-Gruppe oder PetrWrap, die Krypto-Trojaner gezielt auf Unternehmen loslassen, nachdem sie sich teilweise monatelang im Netzwerk umgesehen und Datenbestände abgesaugt haben. Dabei bedienen sich Mamba, PetrWrap und Co. erschiedener Trojaner und Einstiegswege, um die Schädlinge ins Unternehmensnetz zu bekommen: Mamba beispielsweise verwendet die Open-Source-Software Diskcryptor und passt sie mit einem eigens für diesen Zweck programmierten Wrapper an die jeweilige Anforderung an.

Der Einstieg passiert über verwundbare, aus dem Internet zugängliche Server des Unternehmens; wie die Angreifer die Server ausmachen, wollte Ivanov nicht sagen. Klar ist aber, dass die Kriminellen per Exploit die Open-Source-Software Pupy auf dem Server installierten. Pupy ist ein Remote Access Tool (RAT), mit dem weitere Software wie PSExec nachgeladen und so weitere Maschinen im Netzwerk übernommen werden können. Per PSExec wird letztendlich die Krypto-Malware auf die übrigen Rechner im Netzwerk geschickt. Verschlüsselt wird dann in der Regel nachts. So soll verhindert werden, dass beispielweise durch das Verschlüsseln eines Datenbankservers noch während des Vorgangs jemand auf das Problem aufmerksam wird. Denn die Malware beendet zuerst den Datenbank-Prozess, um ungestört auf die Datei zugreifen zu können.

Erpressung oder Ablenkung?

Eine andere von Ivanov beobachtete Gruppe wurde PetrWrap getauft, weil sie sich der bereits existierenden Ransomware Petya bedient und sie per Wrapper anpasst. So werden auf diesem Weg beispielsweise die Krypto-Algorithmen ausgetauscht und die Verbindung zum eigentlich notwendigen Cloud-Backend aus der Datei genommen.

In einzelnen Fällen diene das Aktivieren der Ransomware lediglich der Ablenkung vom zuvor erfolgten Datendiebstahl, so Anton Ivanov im Gespräch. IT-Experten im Unternehmen des Opfers sind zu sehr mit den verschlüsselten Servern und PCs beschäftigt, als dass sie sich auf die Suche nach einem Datenleck und dessen Folgen machen könnten.

Im Fall einer einzelnen Gruppe konnten die Sicherheitsforscher im Laufe von drei Monaten Zahlungen von Opfer in Höhe von 500 Bitcoins nachvollziehen, also gut 530.000 Euro. Wie viele Opfer welche Beträge gezahlt haben, ist unklar. Fest steht, dass Preise von 1 Bitcoin pro verschlüsseltem PC oder Server aufgerufen werden. Kann ein Unternehmen so viel Geld nicht auftreiben, lassen sich die Kriminellen auch auf niedrigere Beträge ein.

Nicht alle Gruppen müssen per Exploit in die Netzwerke eindringen. Laut Ivanov kaufte eine andere Kriminellen-Gang Remote-Desktop-Zugänge zu Windows-Rechnern in Unternehmensnetzwerken, um die Netze dann von dem Rechner aus auszukundschaften. In einzelnen Fällen nutzten die Kriminellen ihre Zugänge auch, um von existierenden E-Mail-Konten des attackiertenUnternehmens E-Mails an deren Kontakte zu schicken – mit der Ransomware im Anhang.

In welchen Ländern die Gangs zuschlagen, wollte der Kaspersky-Forscher nicht im Detail sagen. So wurde nur klar, dass in Brasilien, den USA und in nicht näher genannten europäischen Ländern solche gezielten Attacken stattfanden. (ovw)

45 Kommentare

Themen:

Anzeige
  1. Alles, was wir bisher über den Petya/NotPetya-Ausbruch wissen

    Alles was wir bisher über den Petya-Ausbruch wissen

    Ein riesiger Ausbruch eines weiteren Erpressungstrojaners hält die Welt in Atem. Wie kam es zu dem Angriff, wer profitiert davon und was kann ich unternehmen, um mich zu schützen? Wir haben den aktuellen Wissensstand zusammengetragen.

  2. Erpressungs-Trojaner HDDCryptor soll Computer von Opfern abriegeln

    Erpressungs-Trojaner HDDCryptor soll Computer von Opfern abriegeln

    HDDCryptor verschlüsselt nicht nur Daten, sondern überschreibt offensichtlich auch den MBR von Windows-Computern und gibt infizierte Rechner erst nach einer Lösegeld-Zahlung wieder frei, warnen Sicherheitsforscher.

  3. "For England, James": Malwarebytes rettet Petya-Opfer mit Entschlüsselungstool

    For England, James: Malwarebytes rettet Petya-Opfer mit Entschlüsselungstool

    Opfer der Verschlüsselungstrojaner Mischa, Red Petya, Green Petya und Goldeneye können mit Hilfe der Software ihre Daten retten und in vielen Fällen sogar den MBR wiederherstellen; vorausgesetzt, dass sie die verschlüsselten Platten noch haben.

  4. Petya/NotPetya: Kein Erpressungstrojaner, sondern ein "Wiper"

    Petya/NotPetya: Kein Erpressungstrojaner sondern ein "Wiper"

    Nach eingehenden Analysen des Schädlings NotPetya sind sich die meisten Experten einig: Der Schädling hatte es nicht auf Geld abgesehen, sondern auf Randale, sprich: auf möglichst großen Datenverlust bei den Opfern.

  1. BKA bis WannaCry: Geschichte der Erpressungs-Trojaner

    Vom BKA-Trojaner zu Goldeneye: Die Geschichte der Erpressungs-Trojaner

    Derzeit verbreitet der Erpressungs-Trojaner WannaCry Angst und Schrecken. Das Geschäft mit gekaperten Rechnern und verschlüsselten Daten gibt es schon lange – zu Beginn lief es noch über Disketten.

  2. Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

    An der Tastatur

    Bislang konnten sich Mac-Nutzer relativ sicher fühlen. Inzwischen kursierte aber die erste Ransomware im Netz, die auch OS X infiziert. Sie verschlüsselt Daten und erpresst Lösegeld vom Anwender. Mac & i zeigt, wie Sie sich generell vor Malware schützen können und nennt die Hintergründe.

  3. Nato nutzt Ransomware-Angriff

    Nato-Generalsekretär Stoltenberg fordert den Ausbau der Cyber-Verteidigung und erinnert, dass ein Cyberangriff Artikel 5 auslösen kann

  1. Parallels Desktop 13: Windows in der Mac-Touch-Bar

    Parallels Desktop 13: Windows in der Mac-Touch-Bar

    Parallels hat eine neue große Mac-Version seiner Virtualisierungslösung vorgestellt. Die bringt mehr Produktivität und eine volle Unterstützung für die OLED-Funktionstastenleiste des aktuellen MacBook Pro.

  2. Ideologische Grabenkämpfe in Griechenland

    "Nazismus und Kommunismus können niemals zwei Seiten einer Gleichung sein" - Streit über den Europäischen Tag zur Erinnerung an die Opfer des Kommunismus und des Nazismus

  3. Test: Sondors Fold Pedelec

    Pedelec Sondors Fold

    Das Sondors Fold macht Monsterspaß! Ein übergeschnapptes BMX-Rad, ein Pedelec mit Heckmotor und 20-Zoll-Fatbikereifen. Für rund 1000 Euro muss man dafür Abstriche hinnehmen – erstaunlich ist aber, wie gut das Fold trotzdem ist

  4. Google: Algorithmus entfernt Wasserzeichen in Fotos automatisch

    Google: Algorithmus entfernt Wasserzeichen in Fotos automatisch

    In einem aktuellen Forschungspapier demonstriert Google, wie einfach Wasserzeichen in digitalen Fotos automatisch entfernt werden können. Gleichzeitig zeigt der Konzern Möglichkeiten auf, wie Fotografen und Bildagenturen dies verhindern können.

Anzeige