Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Fabian A. Scherschel 20

Ordinypt: Ein Ransomware-Ausbruch ohne Folgen

Ordinypt: Ein Ransomware-Ausbruch ohne Folgen

Verteilung von Ordinypt-Ausbrüchen in Europa laut ID-Ransomware

Bild: Michael Gillespie

Der Erpressungstrojaner Ordinypt hatte augenscheinlich großes Potenzial, in der deutschen IT-Landschaft Schaden anzurichten. Anscheinend wurde er aber nur an einen relativ kleinen Kreis aus Empfängern verteilt.

Der vermeintliche Kryptotrojaner Ordinypt (beziehungsweise HSDFSDCrypt) hatte das Potenzial, eine Lawine an infizierten Rechnern loszutreten. Die Drahtzieher hatten gut gemachte, in fast fehlerfreiem Deutsch verfasste Phishing-Mails an strategisch günstige Adressen in Personalabteilungen geschickt – bei Goldeneye waren dieser Strategie unzählige Firmen zum Opfer gefallen. Ordinypt wurde allem Anschein nach aber nur an relativ wenige Empfänger verteilt, von denen sich fast niemand mit dem als PDFs getarnten Delphi-Schadcode infizierte.

Die Angreifer sind wohl schon länger aktiv

Und das, obwohl Ordinypt bereits seit gut zwei Wochen auf den Mailservern von heise-Security-Lesern eingegangen ist. Ein Leser registrierte nach eigenen Angaben die erste Phishing-Mail nach dem aktuellen Muster sogar schon Mitte Mai, allerdings damals mit einer Variante des Cerber-Trojaners im Anhang.

Die Verteilung von Ordinypt selbst scheint nur sehr spärlich passiert zu sein. Sicherheitsforscher Michael Gillespie, der den Trojaner entdeckt hatte, als Unbekannte eine Version der Erpresserbotschaft und später ein Sample des Trojaners auf seiner Webseite ID-Ransomware hochluden, hat seitdem lediglich einige Dutzend Anfragen von Opfern des Schadcodes erhalten. Die meisten dieser Zugriffe erhielt die Seite aus Deutschland, wie Gillespie gegenüber heise Security veranschaulichte.

Here's the past 7 days of submissions to ID Ransomware, nothing before the 6th (detected atleast). Used to call it "HSDFSDCRYPT", thus the two names. Pretty much only saw it for a few days. pic.twitter.com/gVxWZYXPwJ

— Michael Gillespie (@demonslay335) November 13, 2017

Noch mal Glück gehabt

Das deckt sich mit den Erkenntnissen anderer Sicherheitsforscher und Berichten unserer Leser. Bei einigen wurde der schädliche Anhang der Phishing-Mails schon auf dem Mailserver neutralisiert, da sie das Mailsystem so konfiguriert hatten, dass es ausführbare Mail-Anhänge unschädlich macht – eine Standard-Sicherheitsvorkehrung. Ähnlich proaktive Maßnahmen sowie eine schleunige Erkennung des Trojaners durch viele AV-Programme schnell nach dem ersten Auftauchen von Ordinypt hat wohl Schlimmeres verhindert.

Trotzdem bleibt die Frage, warum die Drahtzieher den Wiper-Trojaner nur in einem offensichtlich sehr begrenzten Rahmen verteilt haben. So konnten sie mutmaßlich nur wenig Geld verdienen und auch nur wenig Schaden anrichten. Ob dahinter Absicht steckt oder ob bei der Verteilung der Mails etwas schief gelaufen ist, bleibt unklar.

(fab)

20 Kommentare

Themen:

Anzeige
  1. Erpressungstrojaner Cerber soll Bitcoins klauen

    Erpressungstrojaner Cerber soll Bitcoins klauen

    Offenbar ist den Malware-Entwicklern von Cerber das Lösegeld nicht genug: Der Verschlüsselungstrojaner soll sich nun auch Bitcoin-Wallets und Passwörter unter den Nagel reißen.

  2. Erpressungs-Trojaner Cerber lernt dazu und verschlüsselt noch mehr

    Erpressungs-Trojaner Cerber lernt dazu und verschlüsselt noch mehr

    Sicherheitsforscher warnen vor einer neuen Version der Ransomware, die nun unter anderem auch bestimmte laufende Prozesse beenden kann, um so Datenbanken in ihre Fänge zu bekommen.

  3. Ordinypt: Erpressungstrojaner bedroht deutsche Firmen

    Ordinypt: Angeblicher Erpressungstrojaner bedroht deutsche Firmen

    Allem Anschein nach geht in Deutschland ein neuer Trojaner um, der auf Personalabteilungen zielt und Lösegeld erpresst. Der in Delphi verfasste Trojaner lässt Opfern allerdings keine Chance, ihre Daten wiederzubekommen.

  4. Goldeneye nutzt Informationen vom Arbeitsamt für äußerst gezielte Angriffe

    Goldeneye nutzt Informationen vom Arbeitsamt für äußerst gezielte Angriffe

    Alles deutet darauf hin, dass die Angreifer hinter der sich rasant verbreitenden Ransomware Goldeneye Daten missbrauchen, die von der Bundesagentur für Arbeit stammen. Die Anschreiben sind so realistisch, dass sie eine handfeste Gefahr darstellen.

  1. So sicherst du Windows 10 gegen Erpresser-Trojaner ab

    Erpresser-Trojaner gehören zu den fiesesten Bedrohungen für PCs. Mit einigen Vorkehrungen kannst du dich gegen Lösegeldforderungen schützen.

  2. Ukrainischer Geheimdienst SBU sieht russische Geheimdienste hinter Petya/NotPetya-Infektion

    Der Angriff am Tag vor dem Nationalfeiertag sei nur unter dem Deckmantel einer Ransomware-Attacke erfolgt, nach dem SBU sollte Panik ausgelöst werden

  3. BKA bis WannaCry: Geschichte der Erpressungs-Trojaner

    Vom BKA-Trojaner zu Goldeneye: Die Geschichte der Erpressungs-Trojaner

    Derzeit verbreitet der Erpressungs-Trojaner WannaCry Angst und Schrecken. Das Geschäft mit gekaperten Rechnern und verschlüsselten Daten gibt es schon lange – zu Beginn lief es noch über Disketten.

  1. Kommentar: Firefox ist wieder cool

    Kommentar: Firefox ist wieder cool

    Mit großem Tamtam hat Mozilla Firefox Quantum veröffentlicht. Ein längst überfälliges Update: Endlich kann es der Browser mit seinem ärgsten Rivalen aufnehmen. (Nicht nur) Chrome-Nutzer sollten einen Blick riskieren und Firefox eine (zweite) Chance geben.

  2. Zweibeiniger Roboter Atlas schafft Salto rückwärts

    Mann schmeißt Atlas um

    Eine neue Version des aufrecht gehenden Roboters Atlas zeigt akrobatische Talente: Kisten sind kein Hindernis mehr, und sogar ein Salto aus dem Stand gelingt – meistens jedenfalls.

Anzeige