Samas, Cerber, Surprise
15.04.2016, 09:27 Uhr
Die nächste Ransomware-Welle rollt an
Ransomware ist für Cyber-Kriminelle ein äusserst lukratives Geschäft. Kein Wunder hecken sie immer neue Varianten der Verschlüsselungstrojaner aus wie etwa Samas, Cerber oder Surprise.
Verschlüsselungstrojaner sind derzeit der Renner unter Cyber-Krimenellen. Kein Wunder, ist das Konzept doch äusserst lukrativ. So infiziert und verschlüsselt laut Berichten der berühmteste unter den Erpresser-Viren Locky derzeit täglich gut 90.000 Systeme. Für die Entschlüsselung der Rechner verlangen die Cyber-Krimenellen jeweils 400 Dollar. Wenn da nur 25 Prozent der Opfer zahlen, verdienen die Locky-Urheber fast zehn Millionen Dollar, und zwar täglich.
Den Sicherheits-Experten von Varonis sind nun drei neue Ransomware-Kandidaten besonders aufgefallen, die derzeit verstärkt ihr Unwesen treiben. Es handelt sich dabei um Samas, Cerber und Surprise. Während Samas das gesamte Netzwerk von Unternehmen verschlüsselt, handelt es sich bei Cerber um Ransomware-as-a-Service, die unzählige Dateitypen verschlüsselt. Hier eine Zusammenstellung der wichtigsten Eigenschaften der neuen Ransomware-Varianten:
Ransomware Samas
- Lösegeldforderung: Die Hacker sondieren derzeit den Markt und fordern zwischen 1 und 1,7 Bitcoins. Es wird auch eine "Flatrate" angeboten: Betroffene Organisationen können alle infizierten Systeme für 22 Bitcoins (etwa 9160 Dollar) entschlüsseln.
- Verschlüsselungsalgorithmus: RSA-Verschlüsselung (2.048 Bit)
- Infektionsweg: Beginnt mit einem Penetrationsangriff auf einen Server und sucht nach Netzwerken mit potenziellen Schwachstellen
- Betroffene Dateitypen: Versucht, das gesamte Netzwerk von Organisationen zu verschlüsseln
- Lösegeldforderung: 1,24 Bitcoins (etwa 500 Dollar)
- Verschlüsselungsalgorithmus: AES-256-Verschlüsselung
- Infektionsweg: Die Forscher sind bisher noch unsicher, auf welche Weise sich Cerber verbreitet. Sie wird jedoch als Ransomware-as-a-Service angeboten. Abonnenten können sie für Angriffe nutzen und die Entwickler von Cerber erhalten eine Provision bei jeder Lösegeldzahlung. Die Schadsoftware greift interessanter Weise keine Nutzer aus folgenden Ländern an: Aserbaidschan, Armenien, Georgien, Weissrussland, Kirgisistan, Kasachstan, Moldawien, Turkmenistan, Tadschikistan, Russland, Usbekistan und Ukraine. Nach einem erfolgreichen Angriff, erhalten Nutzer drei Dateien, die sie darüber in Kenntnis setzen (.txt, .html und .vbs). Diese Dateien konvertieren die Lösegeldforderung in eine Audionachricht. Wie in einem schlechten Film spricht eine monotone, roboterähnliche Stimme: "Attention. Attention. Attention. Your documents, photos, databases and other important files have been encrypted!" (Achtung. Achtung. Achtung. Ihre Dokumente, Fotos, Datenbanken und anderen wichtigen Dateien wurden verschlüsselt!)
- Lösegeldforderung: Zwischen 0,5 und 25 Bitcoins. Bei Unternehmensnetzwerken mit vielen Rechnern wird deutlich mehr Lösegeld gefordert als bei einzelnen PCs.
- Verschlüsselungsalgorithmus: Eine Mischung aus RSA-2048 und AES-256