Jedem Unternehmer sein persönlicher Erpresser

21. November 2018, 14:58
  • security
  • sophos
image

Zu Ransomware als Massenware kommen immer mehr gezielte Erpressungen einzelner Unternehmen hinzu.

Zu Ransomware als Massenware kommen immer mehr gezielte Erpressungen einzelner Unternehmen hinzu.
Waren Sie schon einmal Opfer einer in Massen verschickten Ransomware-Attacke und haben sich dabei etwas unpersönlich behandelt gefühlt? Sie können aufatmen, die Chancen steigen, dass sie bei der nächsten Erpressung mit Ransomware eine individuelle Betreuung durch die Erpresser erfahren. Allerdings ist das nicht unbedingt ein Vorteil.
Dies erklärte uns Michael Veit, Technology Evangelist des Security-Software-Herstellers Sophos bei einem Redaktionsbesuch. Gezielte Cybererpressungen einzelner Unternehmen mittels Verschlüsselung von Daten seien einer der aktuellen Trends unter Cyberkriminellen, die Sophos in seinem Threat report 2019 hervorhebt. Eines der Merkmale dieser Angriffe ist es, dass die Angreifer viel höhere Summen verlangen, um die Schlüssel zur Entschlüsselung herauszugeben, als bei traditionellen Ransomware-Angriffen. Schliesslich kennen sie die Angegriffenen, und können auch in etwa abschätzen, was diese bereit sein könnten, zu bezahlen.
Und laut Veit werden die verlangten Erpressungsgelder auch sehr oft bezahlt. Wenn die Angreifer Bitcoin-Konten zur Zahlung der Lösegelder angeben, kann man sehr gut verfolgen, wie viel Geld auf diese Konten fliesst. Dies scheinen zunehmend hunderttausende von Dollar zu sein, wie das Beispiel der Erpressergruppe SamSam zeigt. Sophos glaubt anhand der Analyse von Aktivitätsmustern, dass es sich bei den Erpressern um kleine Gruppen, vielleicht sogar Einzeltäter handelt, so Veit. Das heisst: Der kriminelle Anreiz ist gross, denn die Mitglieder können sehr viel verdienen.
Die Tatmethode
Zwar werden auch bei dieser Art von Angriffen Dateien verschlüsselt und damit als "Geiseln" genommen, aber klassische Ransomware wird kaum beziehungsweise erst am Ende verwendet.
Die Angreifer suchen erst gezielt nach einem Einfallstor ins Netzwerk eines Unternehmens, wie uns Veit erklärte, meistens einem zu wenig geschützten RDP-Port. Wird so ein Port gefunden, folgt ein Brute-Force-Angriff, um das Login herauszufinden. Gelingt dies, wird die Attacke von einem realen Menschen weitergeführt. Er versucht, in weitere Bereiche des Netzwerks vorzudringen. Zu den Zielen der Angreifer gehört es, sich Logins für möglichst viele Domains zu suchen, Sicherheitsmechanismen zu deaktivieren und Backups zu löschen. Erst dann folgt die Einschleusung von Ransomware auf möglichst viele Computer gleichzeitig, um die nun nicht mehr geschützten Files zu verschlüsseln. Für diesen Schlag suchen sie sich oft einen besonders günstigen Zeitpunkt aus, zum Beispiel Freitagnacht. (Hans Jörg Maron)

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023