"RansomWeb": Nun werden auch Webseiten durch Verschlüsselung gekidnappt

4. Februar 2015, 14:22
  • security
  • ransomware
image

Der Security-Spezialist High-Tech Bridge hat eine neuartige Angriffsmethode von Cyberkriminellen beobachtet.

Der Security-Spezialist High-Tech Bridge hat eine neuartige Angriffsmethode von Cyberkriminellen beobachtet. Dabei werden Daten von Web-Anwendungen verschlüsselt und damit Lösegeldzahlungen erpresst. Das Prinzip ähnelt also der Ransomware für PCs, mit der so mancher Privatnutzer leidvolle Erfahrung hat.
Allerdings zielt "RansomWeb" mit seinen Server-Attacken auf Unternehmen und somit potenziell viel grössere Fische ab. Zudem könnte der Ansatz nicht zur Erpressung, sondern auch zur Zerstörung von Webangeboten dienen - als effektive Alternative zu DDoS-Angriffen (Distributed Denial of Service).
High-Tech Bridge hat RansomWeb erstmals bei einem Finanzunternehmen gefunden. Im Dezember 2014 meldete die Website einen Datenbank-Fehler, der Betreiber erhielt eine Erpresser-E-Mail mit dem Angebot, die Datenbank zu entschlüsseln. Ursprünglich hielt der Sicherheitsspezialist das für einen einzelnen, gezielten Angriff, doch nun hat er einen zweiten Fall entdeckt. "Wir sind vermutlich mit einer Emerging Threat konfrontiert, die Verunstaltungen und DDoS-Angriffe in den Schatten stellen könnte", warnt High-Tech Bridge-CEO Ilia Kolochenko.
Das Prinzip der neuen Attacke ähnelt Ransomware, die Festplatten verschlüsselt und dann Schutzgeld erpresst. Allerdings ist RansomWeb etwas komplexer. Im Fall des Finanzunternehmens haben die Hacker nach dem ersten Eindringen ins System und der Verschlüsselung der Datenbank monatelang zugewartet, damit neben der Datenbank der betroffenen Web-Anwendung auch die Backups verschlüsselt waren. Um die Verschlüsselung zu verheimlichen, konnte die Anwendung während dieser Zeit den Schlüssel von einem Server der Kriminellen beziehen und funktionierte daher scheinbar normal. Erst, nachdem die Hintermänner den Schlüssel offline genommen hatten, war das Unternehmen aus der eigenen Datenbank ausgesperrt. Einige weitere Details zur Vorgehensweise der Angreifer findet man hier.
Die Erpresser haben dann 50'000 Dollar gefordert, so High-Tech Bridge gegenüber "Forbes". Kolochenko zufolge haben die Hacker aber Fehler gemacht, sodass der Schlüssel rekonstruiert werden konnte. Wäre das nicht der Fall gewesen, wäre das Unternehmen um eine Zahlung kaum umhin gekommen. Denn sind auch die Daten in Backups verschlüsselt, ist das Webangebot effektiv unbrauchbar. (pte/hjm)

Loading

Mehr zum Thema

image

Cyberangriff: Bülach ist nicht auf Forderungen eingegangen

Die Stadt Bülach hat ausführlich über den Cyberangriff auf seine Verwaltung informiert. Auf Lösegeldforderungen sei man nicht eingegangen.

publiziert am 17.8.2022
image

Eine Zeroday-Lücke lebte bei Microsoft zwei Jahre unbehelligt

Microsoft anerkennt die Schwachstelle "Dogwalk" nach zwei Jahren als Gefahr und veröffentlicht einen Patch. Sie wird bereits ausgenutzt.

publiziert am 16.8.2022
image

Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes

Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.

publiziert am 12.8.2022
image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022