Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.683.960 Produkten

Fabian A. Scherschel 23

Ordinypt: Ein Ransomware-Ausbruch ohne Folgen

Ordinypt: Ein Ransomware-Ausbruch ohne Folgen

Verteilung von Ordinypt-Ausbrüchen in Europa laut ID-Ransomware

Bild: Michael Gillespie

Der Erpressungstrojaner Ordinypt hatte augenscheinlich großes Potenzial, in der deutschen IT-Landschaft Schaden anzurichten. Anscheinend wurde er aber nur an einen relativ kleinen Kreis aus Empfängern verteilt.

Der vermeintliche Kryptotrojaner Ordinypt (beziehungsweise HSDFSDCrypt) hatte das Potenzial, eine Lawine an infizierten Rechnern loszutreten. Die Drahtzieher hatten gut gemachte, in fast fehlerfreiem Deutsch verfasste Phishing-Mails an strategisch günstige Adressen in Personalabteilungen geschickt – bei Goldeneye waren dieser Strategie unzählige Firmen zum Opfer gefallen. Ordinypt wurde allem Anschein nach aber nur an relativ wenige Empfänger verteilt, von denen sich fast niemand mit dem als PDFs getarnten Delphi-Schadcode infizierte.

Anzeige

Und das, obwohl Ordinypt bereits seit gut zwei Wochen auf den Mailservern von heise-Security-Lesern eingegangen ist. Ein Leser registrierte nach eigenen Angaben die erste Phishing-Mail nach dem aktuellen Muster sogar schon Mitte Mai, allerdings damals mit einer Variante des Cerber-Trojaners im Anhang.

Die Verteilung von Ordinypt selbst scheint nur sehr spärlich passiert zu sein. Sicherheitsforscher Michael Gillespie, der den Trojaner entdeckt hatte, als Unbekannte eine Version der Erpresserbotschaft und später ein Sample des Trojaners auf seiner Webseite ID-Ransomware hochluden, hat seitdem lediglich einige Dutzend Anfragen von Opfern des Schadcodes erhalten. Die meisten dieser Zugriffe erhielt die Seite aus Deutschland, wie Gillespie gegenüber heise Security veranschaulichte.

Here's the past 7 days of submissions to ID Ransomware, nothing before the 6th (detected atleast). Used to call it "HSDFSDCRYPT", thus the two names. Pretty much only saw it for a few days. pic.twitter.com/gVxWZYXPwJ

— Michael Gillespie (@demonslay335) November 13, 2017

Das deckt sich mit den Erkenntnissen anderer Sicherheitsforscher und Berichten unserer Leser. Bei einigen wurde der schädliche Anhang der Phishing-Mails schon auf dem Mailserver neutralisiert, da sie das Mailsystem so konfiguriert hatten, dass es ausführbare Mail-Anhänge unschädlich macht – eine Standard-Sicherheitsvorkehrung. Ähnlich proaktive Maßnahmen sowie eine schleunige Erkennung des Trojaners durch viele AV-Programme schnell nach dem ersten Auftauchen von Ordinypt hat wohl Schlimmeres verhindert.

Trotzdem bleibt die Frage, warum die Drahtzieher den Wiper-Trojaner nur in einem offensichtlich sehr begrenzten Rahmen verteilt haben. So konnten sie mutmaßlich nur wenig Geld verdienen und auch nur wenig Schaden anrichten. Ob dahinter Absicht steckt oder ob bei der Verteilung der Mails etwas schief gelaufen ist, bleibt unklar.

Anzeige
(fab)

23 Kommentare

Themen:

Anzeige
  1. Erpressungstrojaner Cerber soll Bitcoins klauen

    Erpressungstrojaner Cerber soll Bitcoins klauen

    Offenbar ist den Malware-Entwicklern von Cerber das Lösegeld nicht genug: Der Verschlüsselungstrojaner soll sich nun auch Bitcoin-Wallets und Passwörter unter den Nagel reißen.

  2. Ordinypt: Erpressungstrojaner bedroht deutsche Firmen

    Ordinypt: Angeblicher Erpressungstrojaner bedroht deutsche Firmen

    Allem Anschein nach geht in Deutschland ein neuer Trojaner um, der auf Personalabteilungen zielt und Lösegeld erpresst. Der in Delphi verfasste Trojaner lässt Opfern allerdings keine Chance, ihre Daten wiederzubekommen.

  3. Locky ist wieder da: Erpressungstrojaner grassiert jetzt als Diablo6

    Locky ist wieder da: Erpressungstrojaner grassiert jetzt als Diablo6

    Die Ransomware Locky ist zurück und verschlüsselt wieder verstärkt die persönlichen Dateien von Opfern auf der ganzen Welt. Erhöhte Vorsicht im Umgang mit E-Mails scheint momentan angebracht.

  4. Goldeneye nutzt Informationen vom Arbeitsamt für äußerst gezielte Angriffe

    Goldeneye nutzt Informationen vom Arbeitsamt für äußerst gezielte Angriffe

    Alles deutet darauf hin, dass die Angreifer hinter der sich rasant verbreitenden Ransomware Goldeneye Daten missbrauchen, die von der Bundesagentur für Arbeit stammen. Die Anschreiben sind so realistisch, dass sie eine handfeste Gefahr darstellen.

  1. Ransomware: So entfernst du Verschlüsselungs-Trojaner

    Wenn deine Daten von einem Verschlüsselungs-Trojaner gekapert wurden, heißt es: Ruhe bewahren. Wir zeigen, was du gegen Ransomware tun kannst.

  2. So sicherst du Windows 10 gegen Erpresser-Trojaner ab

    Erpresser-Trojaner gehören zu den fiesesten Bedrohungen für PCs. Mit einigen Vorkehrungen kannst du dich gegen Lösegeldforderungen schützen.

  3. Ukrainischer Geheimdienst SBU sieht russische Geheimdienste hinter Petya/NotPetya-Infektion

    Der Angriff am Tag vor dem Nationalfeiertag sei nur unter dem Deckmantel einer Ransomware-Attacke erfolgt, nach dem SBU sollte Panik ausgelöst werden

  1. Meltdown und Spectre im Überblick: Grundlagen, Auswirkungen und Praxistipps

    Sicherheitslücken Meltdown und Spectre

    Der erste Pulverdampf hat sich verzogen: c't 3/2018 fasst die wichtigsten Informationen zu den schweren Sicherheitslücken aktueller Prozessoren zusammen, liefert Messergebnisse und bringt Praxistipps.

  2. iPhone-Akku für 29 Euro: (Kleine) Schäden können Austausch viel teurer machen

    iPhone 6

    Viele Nutzer wollen ihre alte Batterie im Moment von Apple für nur 29 Euro ersetzen lassen, um ihr iPhone wieder zu beschleunigen, allerdings bemängelt der Hersteller mitunter Vorschäden am Gerät – und will dann mehrere hundert Euro für den Akkutausch.

  3. Kommentar: Keine Zukunft mit der Cloud

    Kommentar: Keine Zukunft mit der Cloud

    Beim Thema Cloud fürchten die meisten Nutzer den Verlust ihrer Daten. Doch für Administratoren wie Anatoli Kreyman geht es um nicht weniger als ihren Arbeitsplatz.

  4. Nintendo Labo bei der USK: Ist das Kunst oder kann das weg?

    Nintendo Labo bei der USK: Ist das Kunst oder kann das weg?

    Semi-digitale Papp-Spielzeuge sind die Zukunft, weiß Nintendo. Bei der USK landeten die Labo-Bausätze schon vor der offiziellen Ankündigung. Eine Reinigungskraft brachte Nintendos revolutionären Switch-Kartons aber nur wenig Wertzschätzung entgegen.

Anzeige