Ransomware aktuell

5 Cryptolocker zum "Verlieben"

25.02.2020
Von  und
Heinrich Vaske ist Editorial Director von COMPUTERWOCHE und CIO. Seine wichtigste Aufgabe ist die inhaltliche Ausrichtung beider Medienmarken - im Web und in den Print-Titeln. Vaske verantwortet außerdem inhaltlich die Sonderpublikationen, Social-Web-Engagements und Mobile-Produkte und moderiert Veranstaltungen.
Josh Fruhlinger ist freier Autor in Los Angeles.

1. SamSam - Remote Desktop Ransomware

Angriffe mit dem Verschlüsselungstrojaner SamSam kamen Ende 2015 auf, nahmen in den nächsten Jahren mächtig Fahrt auf und betrafen unter anderem das Verkehrsministerium von Colorado, die Stadt Atlanta und zahlreiche Gesundheitseinrichtungen. In der Regel gelangt Ransomware über bösartige Download-Programme auf Rechner. Sie werden über Drive-by-Downloads (Schadsoftware wird unbeabsichtigt über eine präparierte Website geladen) oder Spam-E-Mails verteilt. Solche Downloader laden anschließend Malware herunter, die den Verschlüsselungsvorgang startet.

Die Angreifer, die sich hinter Samsam verbergen, gehen anders vor, wie der US-Sicherheitsanbieter DigiCert beschreibt. Sie setzen Tools ein, um Server via Remote-Desktop-Verbindungen auf fehlende Patches zu analysieren. Über die so gefundenen Sicherheitslücken verschaffen sich die Angreifer Zugriff auf den Server, sammeln Zugangsdaten ein und installieren Ransomware, um Dateien zu verschlüsseln, für die sie dann Lösegeld verlangen.

Die überwältigende Mehrheit der Angriffe mit SamSam zielte auf Institutionen innerhalb der USA ab. Ende 2018 klagte das US-Justizministerium zwei Iraner an, die angeblich hinter solchen Angriffen steckten und einen Schaden in Höhe von über 30 Millionen Dollar verursacht haben sollen. Es ist jedoch unklar, welche Summen wirklich gezahlt wurden, da nicht alle Unternehmen publik machen, dass sie erfolgreich erpresst wurden.

Details zu SamSam

2. Ryuk - Cryptolocker-Exot

Ryuk ist eine nicht so häufig auftretende Ransomware-Variante, die 2018 und 2019 erste Auswirkungen zeigte. Als Opfer wurden überwiegend Unternehmen ausgewählt, die sich Systemausfälle absolut nicht leisten können: Tageszeitungen etwa oder Energieversorger. Betroffen war beispielsweise ein Wasserversorgungsunternehmen in North Carolina, das mit den Folgen des Hurrikans Florenz zu kämpfen hatte. Auch die Los Angeles Times hatte unter Ryuk zu leiden und veröffentlichte sogar einen detaillierten Bericht darüber.

Das zu Cisco gehörende IT-Sicherheitsunternehmen Duo Security beobachtete, das Ruyk über eine Kette verschiedener Malware-Produkte in die Unternehmen gelangt. Der Angriff beginnt mit einer Infektion durch die Malware Emotet, die über eine Phishing-E-Mail mit infiziertem Anhang ausgebracht wird. Sie spioniert den Rechner aus und lädt eine zweite Schadsoftware namens TrickBot nach, mit der unter anderem Kontozugangsdaten abgeschöpft werden. Im dritten Schritt wird dann Ryuk installiert, die eigentliche Ransomware, die als wichtig erkannte Dateien verschlüsselt und Sicherungskopien löscht, um die Wiederherstellung zu erschweren.

Eine üble Eigenschaft von Ryuk besteht darin, dass die Schadsoftware die Systemwiederherstellung von Windows-Rechnern deaktivieren kann, wodurch es besonders schwierig wird, verschlüsselte Daten zu retten, ohne dafür zu zahlen. Die Lösegeldforderungen in den bekannten Infektionsfällen fielen überdurchschnittlich hoch aus.

Experten vermuten, dass der Ryuk-Quellcode von der 2017 entdeckten Ransomware Hermes abgeleitet wurde, die der berüchtigten APT Lazarus Group aus Nordkorea zugeordnet wird. Mit Hermes wurde unter anderem die Far Eastern International Bank in Taiwan erpresst. All das muss aber nicht bedeuten, dass die Ryuk-Angriffe von Nordkorea ausgingen. McAfee etwa geht davon aus, dass der Ryuk-Code von Hackern aus dem russischsprachigen Raum gekauft und verbreitet wurde, zumal die Lösegeldforderung auf Computern, deren Sprache auf Russisch, Weißrussisch oder Ukrainisch eingestellt ist, nicht ausgeführt werden kann.

Details zu Ryuk:

3. PureLocker - Ransomware-as-a-Service

PureLocker ist eine neuere, in PureBasic geschriebene Ransomware-Variante, die Cyberkriminelle offenbar als "Ransomware-as-a-Service" mieten können. Im November 2019 beschrieben Intezer und das X-Force-IRIS-Team von IBM erstmals die Ransomware, die Produktionsserver in großen Unternehmen lahmlegt. Wie EngimaSoft berichtet, haben die Anbieter den Preis für die Mietsoftware recht hoch angesetzt, so dass die Verbreitung nicht so schnell vorankommt, wie theoretisch möglich.

PureLocker läuft auf Windows- und Linux-Rechnern und wird allem Anschein nach über die Backdoor-Malware more_eggs eingeschmuggelt, deren sich einige berüchtigte Banden von Cyberkriminellen bedienen (Fin6, Cobalt Group). PureLocker wird also auf Maschinen installiert, die bereits kompromittiert und von Angreifern ausgespäht wurden. Der Trojaner führt eine Reihe von Prüfungen auf der Maschine durch und verschlüsselt ganz gezielt Daten - laut Enigmasoft aber nur dann, wenn bestimmte Kriterien erfüllt sind. Beispielsweise werden Sandbox-Umgebungen erkannt und gemieden.

Details zu PureLocker

4. Zeppelin - Intelligenter Erpressungstrojaner

Zeppelin ist eine neue Ransomware, die Anfang November 2019 entdeckt und offenbar von erfahrenen, hochqualifizierten Entwicklern geschrieben wurde. Angeblich ist Zeppelin ein Nachfahre der Ransomware-Familie Vega, doch Experten von Geekflare haben daran ihre Zweifel: Vega-Locker hätten sich gegen russische Unternehmen und Institutionen gerichtet, Zeppelin habe aber nur europäische und US-amerikanische Ziele im Visier und sei so programmiert, dass die Malware auf russischsprachigen Systemen nicht funktionsfähig sei.

Die Zeppelin-Malware richtete sich bislang vor allem gegen Technologieunternehmen sowie Institutionen aus dem Gesundheitswesen. Wie die Software auf die Systeme ihrer Opfer gelangt, ist noch nicht im Detail geklärt. Spekulationen besagen, dass die Ransomware über Remote-Desktop-Verbindungen verteilt wird.

Zeppelin prüft zunächst Details auf den befallenen Rechnern, setzt dann die Basisfunktionen außer Kraft und beginnt mit der Verschlüsselung der Daten auch in Datenbanken und Backup-Files. Laut Geekflare geht die Malware intelligent vor: Zeppelin erzeugt keine Extensions zu den jeweiligen Dateien und ändert keine Dateinamen. Betroffene werden aber eine Markierung mit dem Namen Zeppelin und einigen ungewöhnlichen Symbolen bemerken.

Der Algorithmus von Zeppelin entspricht dem des Vega-Trojaners: Beide generieren Schlüssel, und die Dateien sind erst wieder zugänglich, wenn Lösegeld bezahlt wurde. Dann wird ein Banner sichtbar: "Your files have been encrypted". Die Unternehmen erhalten eine Nachricht, aus der nicht nur hervorgeht, wie die Ransomware funktioniert, es ist perfiderweise meistens sogar eine E-Mail-Adresse angegeben, um Kontakt aufzunehmen. Außerdem wird angeboten, die eine oder andere Datei kostenlos zu entschlüsseln, weil die Kriminellen so nachweisen wollen, dass sie dazu auch wirklich imstande sind.

Wer sich vor Ransomware wie Zeppelin, aber auch vor anderen Verschlüsselungstrojanern schützen will, sollte regelmäßig Backups auf anderen, nicht verbundenen Systemen vornehmen, Remote-Desktop-Verbindungen meiden und seine Mitarbeiter nach Möglichkeit nur vertrauenswürdige Online-Dienste nutzen lassen. Mehr-Faktor-Authentifizierung, regelmäßige Passwort-Wechsel, und eine Schulung der Mitarbeiter hinsichtlich des Öffnens von E-Mail-Anhängen und Links sind ebenfalls ratsam.

Details zu Zeppelin:

5. REvil/Sodinokibi - Ransomware aus Leidenschaft

Sodinokibi, auch bekannt als REvil, tauchte erstmals im April 2019 auf. Der Trojaner ist offenbar ein Nachfahre einer anderen Malware-Familie namens GandCrab. Wie bei Zeppelin verhindert der Code eine Ausführung in Russland und angrenzenden Ländern sowie in Syrien. Es deutet also einiges daraufhin, dass der Ursprung in einer dieser Regionen liegt. Die Verbreitung erfolgt auf verschiedenen Wegen, darunter die Ausnutzung von bekannten Schwachstellen in Oracles WebLogic-Servern oder der Pulse Connect Secure VPN.

Auch bei Sodinokibi handelt es sich offenbar um ein Ransomware-as-a-Service-Angebot, mit einem ehrgeizigen Team von Cyberkriminellen dahinter. Die Malware war dafür verantwortlich, dass die IT-Systeme in 22 texanischen Kleinstädten im September 2019 lahmgelegt wurden. Noch bekannter wurde ein Angriff in der Silvesternacht 2019, als es gelang, die britische Devisengesellschaft Travelex anzugreifen, wodurch beispielsweise Wechselstuben an Flughäfen gezwungen wurden, auf Stift und Papier zurückzugreifen. Die Angreifer verlangten ein Lösegeld von sechs Millionen Dollar - ob es gezahlt wurde, ist nicht an die Öffentlichkeit gedrungen.

Die Urheber von Sodinokibi gelten als besonders gefährlich, weil sie nicht nur Geld für die Freigabe verschlüsselter Daten fordern, sondern auch damit drohen, vertrauliche Informationen und persönliche Daten im Web zu veröffentlichen beziehungsweise Dritten zum Kauf anzubieten. Die PSW Group weist daraufhin, dass Sodinokibi-Ransomware sich auch durch gefälschte Online-Bewerbungen verbreitet und ruft Personalabteilungen zu erhöhter Wachsamkeit auf. Ein anderer Weg ist die Verbreitung als Fax-Ankündigung via E-Mail ("Sie haben ein Fax, Absender HelloFax").

Details zu Sodinokibi