Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Uli Ries 45

500.000 US-Dollar Lösegeld: Ransomware-Gangs nehmen Unternehmen aufs Korn

Trojaner

Bild: dpa, Sebastian Kahnert/Archiv

Sicherheitsforscher haben mindestens acht Gruppen ausgemacht, die sich auf Ransomware-Attacken auf Unternehmen spezialisiert haben. Je nach Anzahl der infizierten PCs und Server steigt das Lösegeld. Summen von bis zu 500.000 US-Dollar sind im Spiel.

Sicherheitsforscher haben mindestens acht Gruppen ausgemacht, die sich auf Ransomware-Attacken auf Unternehmen spezialisiert haben. Je nach Anzahl der infizierten PCs und Server steigt das Lösegeld. Summen von bis zu 500.000 US-Dollar sind im Spiel.

Anton Ivanov von Kaspersky berichtet von acht Gruppen wie der Mamba-Gruppe oder PetrWrap, die Krypto-Trojaner gezielt auf Unternehmen loslassen, nachdem sie sich teilweise monatelang im Netzwerk umgesehen und Datenbestände abgesaugt haben. Dabei bedienen sich Mamba, PetrWrap und Co. erschiedener Trojaner und Einstiegswege, um die Schädlinge ins Unternehmensnetz zu bekommen: Mamba beispielsweise verwendet die Open-Source-Software Diskcryptor und passt sie mit einem eigens für diesen Zweck programmierten Wrapper an die jeweilige Anforderung an.

Der Einstieg passiert über verwundbare, aus dem Internet zugängliche Server des Unternehmens; wie die Angreifer die Server ausmachen, wollte Ivanov nicht sagen. Klar ist aber, dass die Kriminellen per Exploit die Open-Source-Software Pupy auf dem Server installierten. Pupy ist ein Remote Access Tool (RAT), mit dem weitere Software wie PSExec nachgeladen und so weitere Maschinen im Netzwerk übernommen werden können. Per PSExec wird letztendlich die Krypto-Malware auf die übrigen Rechner im Netzwerk geschickt. Verschlüsselt wird dann in der Regel nachts. So soll verhindert werden, dass beispielweise durch das Verschlüsseln eines Datenbankservers noch während des Vorgangs jemand auf das Problem aufmerksam wird. Denn die Malware beendet zuerst den Datenbank-Prozess, um ungestört auf die Datei zugreifen zu können.

Erpressung oder Ablenkung?

Eine andere von Ivanov beobachtete Gruppe wurde PetrWrap getauft, weil sie sich der bereits existierenden Ransomware Petya bedient und sie per Wrapper anpasst. So werden auf diesem Weg beispielsweise die Krypto-Algorithmen ausgetauscht und die Verbindung zum eigentlich notwendigen Cloud-Backend aus der Datei genommen.

In einzelnen Fällen diene das Aktivieren der Ransomware lediglich der Ablenkung vom zuvor erfolgten Datendiebstahl, so Anton Ivanov im Gespräch. IT-Experten im Unternehmen des Opfers sind zu sehr mit den verschlüsselten Servern und PCs beschäftigt, als dass sie sich auf die Suche nach einem Datenleck und dessen Folgen machen könnten.

Im Fall einer einzelnen Gruppe konnten die Sicherheitsforscher im Laufe von drei Monaten Zahlungen von Opfer in Höhe von 500 Bitcoins nachvollziehen, also gut 530.000 Euro. Wie viele Opfer welche Beträge gezahlt haben, ist unklar. Fest steht, dass Preise von 1 Bitcoin pro verschlüsseltem PC oder Server aufgerufen werden. Kann ein Unternehmen so viel Geld nicht auftreiben, lassen sich die Kriminellen auch auf niedrigere Beträge ein.

Nicht alle Gruppen müssen per Exploit in die Netzwerke eindringen. Laut Ivanov kaufte eine andere Kriminellen-Gang Remote-Desktop-Zugänge zu Windows-Rechnern in Unternehmensnetzwerken, um die Netze dann von dem Rechner aus auszukundschaften. In einzelnen Fällen nutzten die Kriminellen ihre Zugänge auch, um von existierenden E-Mail-Konten des attackiertenUnternehmens E-Mails an deren Kontakte zu schicken – mit der Ransomware im Anhang.

In welchen Ländern die Gangs zuschlagen, wollte der Kaspersky-Forscher nicht im Detail sagen. So wurde nur klar, dass in Brasilien, den USA und in nicht näher genannten europäischen Ländern solche gezielten Attacken stattfanden. (ovw)

45 Kommentare

Themen:

Anzeige
  1. Erpressungs-Trojaner HDDCryptor soll Computer von Opfern abriegeln

    Erpressungs-Trojaner HDDCryptor soll Computer von Opfern abriegeln

    HDDCryptor verschlüsselt nicht nur Daten, sondern überschreibt offensichtlich auch den MBR von Windows-Computern und gibt infizierte Rechner erst nach einer Lösegeld-Zahlung wieder frei, warnen Sicherheitsforscher.

  2. Krypto-Trojaner: Lockys gieriger Bruder verlangt über 2000 Euro Lösegeld

    Krypto-Trojaner: Lockys gieriger Bruder verlangt über 2000 Euro Lösegeld

    Nicht nur der Erpressungs-Trojaner GoldenEye ist derzeit ein Ärgernis, auch die Verwandschaft des berüchtigten Locky-Trojaners geht weiter auf Raubzug. Eine Osiris genannte Variante schlägt derzeit vermehrt zu und verlangt ein saftiges Lösegeld.

  3. Erpressungs-Trojaner CryptXXX rutscht Schlüssel kostenlos raus

    Erpressungs-Trojaner CryptXXX rutscht Schlüssel kostenlos raus

    Opfer der Ransomware CryptXXX sollten sich umgehend auf der Bezahl-Webseite einloggen: Unter Umständen taucht dort ohne zu Bezahlen der Schlüssel zum Dechiffrieren der eigenen Daten auf.

  4. Erpressungs-Trojaner RAA kommt mit Passwort-Dieb im Huckepack daher

    Cyberkriminalität

    Der Computer-Schädling RAA soll nicht nur Daten als Geisel nehmen und ein Lösegeld verlangen, sondern auch einen Trojaner mitbringen, der Passwörter abgreift.

  1. BKA bis WannaCry: Geschichte der Erpressungs-Trojaner

    Vom BKA-Trojaner zu Goldeneye: Die Geschichte der Erpressungs-Trojaner

    Derzeit verbreitet der Erpressungs-Trojaner WannaCry Angst und Schrecken. Das Geschäft mit gekaperten Rechnern und verschlüsselten Daten gibt es schon lange – zu Beginn lief es noch über Disketten.

  2. Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

    An der Tastatur

    Bislang konnten sich Mac-Nutzer relativ sicher fühlen. Inzwischen kursierte aber die erste Ransomware im Netz, die auch OS X infiziert. Sie verschlüsselt Daten und erpresst Lösegeld vom Anwender. Mac & i zeigt, wie Sie sich generell vor Malware schützen können und nennt die Hintergründe.

  3. Hackerangriff auf kalifornisches Krankenhaus

    Auch in Nordrhein-Westfalen waren mehrere Krankenhäuser zum Opfer von Angreifern geworden, in Los Angeles verlangten die Einbrecher 40 Bitcoins Lösegeld für den Schlüssel

  1. ARD und ZDF fordern jährliche Gebührenerhöhungen

    Rundfunkbeitrag soll zunächst auf 18,28 Euro steigen

  2. TT Isle of Man 2017

    TT Isle of Man feierte 2017 ihr 110. Jubiläum und die Zuschauer strömten wie eh und je zu Tausenden auf die idyllische Insel in der Irischen See. Wegen der Verletzung von Altmeister John McGuiness lief es auf ein Duell zwischen Ian Hutchinson und Michal Dunlop hinaus. Doch es gab auch einige Überraschungen

  3. Fahrbericht aus dem Kia Soul der zweiten Generation

    Fahrbericht aus dem Kia Soul der zweiten Generation

    Der Soul ist mit seiner Optik zwar der coolste Kia, doch wurden in Deutschland letztes Jahr gerade mal 590 Stück angemeldet. Nach der Modellüberarbeitung sollen es über 3000 pro Jahr werden. Da muss also richtig was passiert sein mit dem Soul

  4. Fahrbericht: VW Tiguan 2.0 TSI Allspace

    Der VW Tiguan der zweiten Generation, der sich seit 2016 zu ungeahnter Beliebtheit aufschwingt, kommt im November in einer Langversion zu uns. In den USA kommt er unter der schlichten Bezeichnung VW Tiguan bereits in diesem Sommer auf den Markt. Wir konnten ihn dort bereits kurz ausprobieren

Anzeige