Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.556 Produkten

Fabian A. Scherschel 23

Ordinypt: Ein Ransomware-Ausbruch ohne Folgen

Ordinypt: Ein Ransomware-Ausbruch ohne Folgen

Verteilung von Ordinypt-Ausbrüchen in Europa laut ID-Ransomware

Bild: Michael Gillespie

Der Erpressungstrojaner Ordinypt hatte augenscheinlich großes Potenzial, in der deutschen IT-Landschaft Schaden anzurichten. Anscheinend wurde er aber nur an einen relativ kleinen Kreis aus Empfängern verteilt.

Der vermeintliche Kryptotrojaner Ordinypt (beziehungsweise HSDFSDCrypt) hatte das Potenzial, eine Lawine an infizierten Rechnern loszutreten. Die Drahtzieher hatten gut gemachte, in fast fehlerfreiem Deutsch verfasste Phishing-Mails an strategisch günstige Adressen in Personalabteilungen geschickt – bei Goldeneye waren dieser Strategie unzählige Firmen zum Opfer gefallen. Ordinypt wurde allem Anschein nach aber nur an relativ wenige Empfänger verteilt, von denen sich fast niemand mit dem als PDFs getarnten Delphi-Schadcode infizierte.

Anzeige

Und das, obwohl Ordinypt bereits seit gut zwei Wochen auf den Mailservern von heise-Security-Lesern eingegangen ist. Ein Leser registrierte nach eigenen Angaben die erste Phishing-Mail nach dem aktuellen Muster sogar schon Mitte Mai, allerdings damals mit einer Variante des Cerber-Trojaners im Anhang.

Die Verteilung von Ordinypt selbst scheint nur sehr spärlich passiert zu sein. Sicherheitsforscher Michael Gillespie, der den Trojaner entdeckt hatte, als Unbekannte eine Version der Erpresserbotschaft und später ein Sample des Trojaners auf seiner Webseite ID-Ransomware hochluden, hat seitdem lediglich einige Dutzend Anfragen von Opfern des Schadcodes erhalten. Die meisten dieser Zugriffe erhielt die Seite aus Deutschland, wie Gillespie gegenüber heise Security veranschaulichte.

Here's the past 7 days of submissions to ID Ransomware, nothing before the 6th (detected atleast). Used to call it "HSDFSDCRYPT", thus the two names. Pretty much only saw it for a few days. pic.twitter.com/gVxWZYXPwJ

— Michael Gillespie (@demonslay335) November 13, 2017

Das deckt sich mit den Erkenntnissen anderer Sicherheitsforscher und Berichten unserer Leser. Bei einigen wurde der schädliche Anhang der Phishing-Mails schon auf dem Mailserver neutralisiert, da sie das Mailsystem so konfiguriert hatten, dass es ausführbare Mail-Anhänge unschädlich macht – eine Standard-Sicherheitsvorkehrung. Ähnlich proaktive Maßnahmen sowie eine schleunige Erkennung des Trojaners durch viele AV-Programme schnell nach dem ersten Auftauchen von Ordinypt hat wohl Schlimmeres verhindert.

Trotzdem bleibt die Frage, warum die Drahtzieher den Wiper-Trojaner nur in einem offensichtlich sehr begrenzten Rahmen verteilt haben. So konnten sie mutmaßlich nur wenig Geld verdienen und auch nur wenig Schaden anrichten. Ob dahinter Absicht steckt oder ob bei der Verteilung der Mails etwas schief gelaufen ist, bleibt unklar.

Anzeige
(fab)

23 Kommentare

Themen:

Anzeige
  1. Erpressungstrojaner Cerber soll Bitcoins klauen

    Erpressungstrojaner Cerber soll Bitcoins klauen

    Offenbar ist den Malware-Entwicklern von Cerber das Lösegeld nicht genug: Der Verschlüsselungstrojaner soll sich nun auch Bitcoin-Wallets und Passwörter unter den Nagel reißen.

  2. Ordinypt: Erpressungstrojaner bedroht deutsche Firmen

    Ordinypt: Angeblicher Erpressungstrojaner bedroht deutsche Firmen

    Allem Anschein nach geht in Deutschland ein neuer Trojaner um, der auf Personalabteilungen zielt und Lösegeld erpresst. Der in Delphi verfasste Trojaner lässt Opfern allerdings keine Chance, ihre Daten wiederzubekommen.

  3. Locky ist wieder da: Erpressungstrojaner grassiert jetzt als Diablo6

    Locky ist wieder da: Erpressungstrojaner grassiert jetzt als Diablo6

    Die Ransomware Locky ist zurück und verschlüsselt wieder verstärkt die persönlichen Dateien von Opfern auf der ganzen Welt. Erhöhte Vorsicht im Umgang mit E-Mails scheint momentan angebracht.

  4. Erpressungstrojaner Jaff: Vorsicht vor Mails mit PDF-Anhang

    Erpressungstrojaner Jaff: Vorsicht vor Mails mit PDF-Anhang

    Derzeit landen vermehrt E-Mails mit einem manipulierten PDF-Dokument in Posteingängen. Wer das Dokument unter Windows öffnet, kann sich die Ransomware Jaff einfangen. Diese verschlüsselt Daten und versieht sie mit der Dateiendung .wlu.

  1. Ransomware: So entfernen Sie Verschlüsselungs-Trojaner

    Wenn Ihre Daten von einem Verschlüsselungs-Trojaner gekapert wurden, heißt es: Ruhe bewahren. Wir zeigen, was Sie gegen Ransomware tun können.

  2. So sichern Sie Windows 10 gegen Erpresser-Trojaner ab

    Erpresser-Trojaner gehören zu den fiesesten Bedrohungen für PCs. Mit einigen Vorkehrungen können Sie sich gegen Lösegeldforderungen schützen.

  3. Virenschutz für Ihren Windows-PC

    Möchten Sie Ihren PC so gut es geht gegen Viren schützen? Dann lesen Sie hier unsere Tipps zum Thema Virenschutz.

  1. Wiener Motorensymposium: Volkswagen hybridisiert den Golf VIII

    alternative Antriebe, Elektroautos

    Volkswagen elektrifiziert die Massen: Auf dem Wiener Motorensymposium konkretisieren die Wolfsburger Ingenieure, wie sie sich die flächendeckende Hybridisierung des Golfs vorstellen. Erstmals erwähnt Volkswagen offiziell den Golf VIII, der 2019 eingeführt werden soll

  2. 180-Euro-Smartphone Honor 7C nun auch in Deutschland

    Einsteiger-Smartphone Honor 7C kommt für 180 Euro nach Deutschland

    Das Honor 7C kann jetzt auch in Deutschland gekauft werden. Zum Marktstart kostet das Smartphone der Huawei-Tochter 180 Euro. Dafür bekommt man kompetente Hardware, die allen gängigen Anwendungen gewachsen sein sollte.

  3. Astronomen verblüfft über Megafusion großer Galaxien

    Astronomen verblüfft über Megafusion großer Galaxien

    Gleich zwei Mal haben Forscher gewaltige Galaxienhaufen aufgespürt – weit zurück im jungen Universum. Dass sie zu jener Zeit schon zu Haufen verschmolzen, lässt die Astronomen rätseln. Beeindruckend ist noch eine andere Eigenheit der Massemonster.

  4. Außenminister Maas und der politische Prozess zur Ablösung Baschar al-Assads

    Syrien: Wiederaufbauhilfen aus dem Westen, um das "Regime mit dem Monster" auszuhebeln? Das politische Interesse ist klar, der moralische Grund trüb

Anzeige