- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Erpressungssoftware zielt auf Unternehmen


Was wäre, wenn "Ransomware as a Service" (RaaS) und vorsätzlich handelnde Mitarbeiter ihre Kräfte vereinen?
Das Ransomware as a Service (RaaS)-Modell ist ein aufkommendes Konzept, mithilfe dessen Autoren von Erpressungssoftware dem Zwischenhändler maßgeschneiderte On-Demand-Versionen von Schadsoftware bereitstellen

- Anzeigen -





Autor: Imperva

Im neuesten Research Report folgt Imperva der Infektionskette und den Handlungsabläufen der CryptoWall 3.0 Erpressungssoftware im Hinblick auf Zahlungen von Opfern, wie diese Zahlungen sich zu einer kleinen Anzahl von Bitcoin-Wallets anhäufen und so einen Hinweis auf eine gut organisierte Handlung geben. In dieser Follow-up-Forschung wird schwerpunktmäßig ein weiterer, stetig wachsender Trend in der Erpressungssoftware-Industrie behandelt, der Spendensammlungen von der Verbreitung von Schadsoftware abnabelt. Dies ist noch ein weiterer Datenpunkt, der die Existenz einer blühenden Industrie aufzeigt, in der mehrere Wirtschaftsmodelle den unerträglichen Komfort der Cyberkriminalität ausnutzen.

Das Ransomware as a Service (RaaS)-Modell ist ein aufkommendes Konzept, mithilfe dessen Autoren von Erpressungssoftware dem Zwischenhändler maßgeschneiderte On-Demand-Versionen von Schadsoftware bereitstellen. Die Autoren der Erpressungssoftware sammeln das Lösegeld ein und teilen es mit dem Zwischenhändler. Ein klassisches "Geschäftspartner”-Vertriebsmodell, das von anderen Seiten im Internet bekannt ist.

Dadurch bleiben die Autoren von Malware in ihrer Komfortzone der Programmierung von Software, während Zwischenhändler, die auf Spam, Malvertisement oder BlackHat SEO spezialisiert sind, eine neue Einkommensquelle erschaffen, die auf ihren existierenden Plattformen basieren. Im klassischen Geschäftspartner-Marketing bekommt der Besitzer des Produkts den größeren Anteil des Geldes. Im RaaS hingegen erhält der Autor der Erpressungssoftware einen kleinen Anteil der Spenden (5 – 25 Prozent), während der Rest an den Geschäftspartner geht. Der RaaS-Autor bekommt das Lösegeld des Opfers, indem er Bitcoins verwendet. Dem Distributor wird sein Anteil versprochen, wenn er seine anonyme Bitcoin-Adresse zur Anmeldung nutzt. Dieses Modell, das auf TOR und Bitcoins basiert, wurde entwickelt, um die Identitäten des Autors und des Zwischenhändlers vor Gesetzesvollzugs-Agenturen zu verbergen.

Im letzten Jahr wurden einige RaaS-Schadsoftwares gesichtet. RaaS Tox war der Vorreiter und wurde Mitte 2015 das erste Mal gesichtet. Nachdem die Daten von mindestens 1.000 Computern verschlüsselt wurden, entschied sich der Tox-Autor, aus dem Geschäft auszusteigen und versuchte seine Erfindung zu verkaufen. Tox erlaubte dem Zwischenhändler, einen Lösegeldsatz festzulegen und seine Bitcoin-Wallet-Adresse zu verwenden, um die Gewinne einzusammeln.

Encryptor RaaS ist eine weitere RaaS, die im Juli 2015 von jemandem namens Jeiphoos veröffentlicht wurde. Als dieser Blogeintrag verfasst wurde, war die TOR-Webseite noch erreichbar. Encryptor RaaS erlaubt es dem Zwischenhändler, viele Erpressungssoftware-Parameter zu konfigurieren, beispielsweise den Lösegeldpreis, die Zeitbeschränkung für die Bezahlung, den Wert des neuen Lösegelds, sobald die Zeitbeschränkung abgelaufen ist sowie die Anzahl der Dateien, die gratis entschlüsselt werden können (um dem Opfer zu beweisen, dass die Daten sicher, aber verschlüsselt sind).

Außerdem ermöglicht Encryptor RaaS dem Zwischenhändler, die Datei mit der Erpressungssoftware zu unterschreiben, indem er ein Zertifikat verwendet, das dem Opfer (beziehungsweise seinem Betriebssystem) vorgaukelt, das die Datenquelle vertrauenswürdig ist, während er viele Endpunkt-Schutzmechanismen komplett umgeht. Vergangene Berichte deuteten darauf hin, dass VeriSign das Zertifikat an eine chinesische Firma ausgestellt hatte. Momentan verwendet RaaS ein anderes Zertifikat, das von WoSign an eine verdächtige Firma (Mi You Network Technology Co., Ltd.) ausgestellt wurde. Sein Ursprungszertifikat wurde von StartCom unterschrieben.

Im November 2015 tauchte noch ein RaaS mit dem Namen Cryptolocker auf. Ein Cryptolocker-Autor gab sich selbst als "Fakben" zu erkennen und forderte eine Gebühr von 50 US-Dollar vom Zwischenhändler, um die grundlegende Erpressungssoftware zu bekommen. Dies erlaubte ihm, den Lösegeldpreis, seine Wallet-Adresse und ein Passwort festzulegen. Momentan ist die Cryptolocker RaaS TOR Webseite nicht erreichbar.

Ein viertes RaaS, das Anfang 2016 aufkam und nach wie vor aktiv ist, ist Ransom32. Ransom32 ist die erste Erpressungssoftware, die in JavaScript geschrieben ist, was es relativ einfach macht, sie an verschiedene Betriebssysteme anzupassen. Ransom32 ermöglicht es dem Distributor, eine Vielzahl an Anpassungen zusätzlich zu den vorgestellten Basisoptionen vorzunehmen.

Einige Beispiele sind:
>>
Die vollständige Sperrung des Computer des Opfers bei der Infektion
>> Verhinderung einer Entdeckung mithilfe des Gebrauchs von niedriger CPU-Leistung für die Verschlüsselung
>> Die Entscheidung darüber, ob die Lösegeldnachricht vor oder nach der Verschlüsselung angezeigt wird
>> Benutzung einer verdeckten Zeitbeschränkung, die dem Kunden ermöglicht, die Dateien nur zur verschlüsseln, wenn die Zeitbeschränkung abgelaufen ist

Die massive Verbreitung von Spam und die effektive Erstellung von Malvertisement-Kampagnen erfordern spezielle Fähigkeiten und Infrastrukturmanagement. RaaS reduziert die Anzahl an Fähigkeiten, hauptsächlich technische Fähigkeiten, die für das Betreiben einer erfolgreichen Erpressungssoftware-Kampagne notwendig sind.

Vergangenen Februar berichtete das Hollywood Presbyterian Medical Center, dass seine EMR-Systemaufzeichnungen verschlüsselt wurden und eine Lösegeldforderung einging. Das Krankenhaus bezahlte 17.000 Dollar in Bitcoins, um seine Daten freizugeben und das Tagesgeschäft wieder aufzunehmen. Die Abläufe des Krankenhauses wurden eine Woche lang erheblich beeinträchtigt und einige Patienten mussten verlegt werden. Die IT der Kommune Lincolnshire County war in der Lage, sich von einem solchen Angriff im Januar 2016 zu erholen, indem sie regelmäßige Backups durchführten. Tewksbury P.D., Massachusetts bezahlte im Jahr ein Lösegeld in Bitcoins, um Daten wieder freizuschalten, die von Erpressungssoftware verschlüsselt wurden.

RaaS und Insider: Ein tödliches Team
Vorsätzlich handelnde Mitarbeiter können ihre geheimen Informationen über unstrukturierte Daten von Unternehmen, ihr Wissen darüber, wo sich sensible Daten befinden und ihre Befugnisse ausnutzen, um die wertvollsten Daten zu verschlüsseln. Darüber hinaus wissen sie, wie viel den Unternehmen diese Daten Wert sind und können daraus für sich ableiten, wie viel Lösegeld sie für die Entschlüsselung der Daten verlangen können. Imperva weiß, dass vorsätzlich handelnde Mitarbeiter vor allem finanzielle Interessen haben, und die Nutzung von RaaS in Unternehmen einfach, sicher und profitabel ist. Zukünftige, anpassbare RaaS-Parameter könnten noch spezifischer sein und zudem geschäftsbezogene Informationen enthalten, beispielsweise welche Netzwerkfreigaben von Interesse sind sowie relevante Referenzen. Es ist denkbar, dass vorsätzlich handelnde Mitarbeiter RaaS verwenden könnten, um ihr Unternehmen zu erpressen. (Imperva: ra)

eingetragen: 29.04.16
Home & Newsletterlauf: 31.05.16


Imperva: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Rollende Sicherheitslücken

    Viele Fahrzeuge sind heutzutage längst zu rollenden Computern geworden, denn bereits jetzt stecken in der Software eines modernen Oberklasse-PKW etwa 100 Millionen Codezeilen. Zum Vergleich: Die Flugsoftware einer Boeing 787 Dreamliner kommt mit etwa 14 Millionen Zeilen aus. Die Erwartungen an das zukünftige autonom fahrende Auto sind vielzählig: Mehr Sicherheit auf den Straßen, mehr Komfort, beispielsweise durch selbstständiges Einparken, die Nutzung eines Autopiloten im Stau oder komplett fahrerlose Roboterautos, welche im Car-Sharing-Verfahren neue Infrastrukturmöglichkeiten bieten könnten. Dem gegenüber stehen die Ängste: Bei Technikfehlern nur noch ein hilfloser Passagier an Board zu sein oder Opfer eines Hacker-Angriffs zu werden.

  • Warum BYOD an den Geräten scheitert

    Bring Your Own Device (BYOD) genießt im Geschäftsumfeld seit einigen Jahren den Ruf als innovatives Konzept. Der zeitlich uneingeschränkte Zugang zu Unternehmensdaten kann Firmen verbesserte Effizienz in den Arbeitsabläufen bescheren und den Mitarbeitern wiederum mehr Komfort im täglichen Arbeiten. Sie können auf ihren gewohnten Geräten arbeiten, zu flexiblen Arbeitszeiten. Insbesondere bei neu gegründeten Unternehmen, in denen die Mitarbeiter viel unterwegs sind, wird es überaus geschätzt, wenn kein weiteres, unternehmenseigenes Gerät mitgeführt werden muss. Die Zufriedenheit der Mitarbeiter mit der Arbeitsweise wiederum trägt auch zur Attraktivität des Unternehmens bei.

  • Offensichtlich lukrativste Angriffsmethode

    In regelmäßigen Abständen sehen wir uns einer neuen Bedrohung gegenüber, die bei Angreifern gerade Konjunktur hat. Gezielte Langzeitangriffe, sogenannte Advanced Persistent Threats (APTs) beherrschen die Schlagzeilen und Unternehmen beeilen sich, diese Attacken zu stoppen, deren Urheber sich gut versteckt durch das Netzwerk bewegen. Neben Phishing ist Ransomware die erfolgreichste und offensichtlich lukrativste Angriffsmethode für Cyber-Kriminelle. Schätzungen zufolge kosteten Ransomware-Scams die Opfer allein im letzten Jahr fast 1 Milliarde US-Dollar weltweit. Und es ist kein Wunder, dass sie so gut funktionieren: Sie beruhen auf dem althergebrachten Modell der Schutzgelderpressung, das bereits lange von Banden und der Mafia genutzt und jetzt in digitalem Format erfolgreich wieder aufgelegt wird. Die digitale Transformation ist nicht nur für Unternehmen Realität, sondern längst auch für Kriminelle eine lohnenswerte Einnahmequelle.

  • Detailliertes Profil der Angreifer entscheidend

    "Kill Chain" - dieser Begriff stammt eigentlich aus dem Militärjargon und bezeichnet ein Modell, das alle Phasen eines Angriffs beschreibt. Im Umkehrschluss zeigt es Wege auf, mit denen sich diese Angriffe vermeiden oder zumindest abschwächen lassen - eine Taktik, die auch hinsichtlich digitaler Bedrohungen und Hackangriffe interessant ist. Die Kill Chain digitaler Bedrohungen lässt sich in sieben verschiedene Phasen unterteilen.

  • Internet-Ausfall: Stationärer Handel in der Klemme

    In nur wenigen Bereichen hat sich in den letzten 30 Jahren so viel verändert wie im stationären Handel. Während manche Einzelhändler das Internet immer noch als Bedrohung empfinden, profitiert das Gros von vielen Vorteilen, die das World Wide Web mit sich bringt. Beispiel Kartenzahlungen: Sie wären ohne Internetanbindung gar nicht möglich. Somit ist für Einzelhändler eine kontinuierliche Internetverbindung essenziell, ja gerade überlebenswichtig. Umso schlimmer, wenn das Netz ausfällt. Doch für den unangenehmen Fall der Fälle gibt es gute Lösungen. Ohne Internet sind moderne Verkaufserlebnisse undenkbar: Zu den neueren Entwicklungen im Einzelhandel zählt das so genannte Omni-Channel-Retailing. Dabei nutzen Shops oder Filialen mehrere, vor allem onlinebasierte Kanäle, um dem Kunden ein optimales Verkaufserlebnis zu bieten. So beispielsweise der Reifenwechsel am Auto: Bei größeren Werkstätten und Werkstattketten ist es heute State-of-the-Art, dass der Kunde seine Wunschreifen und Felgen online bestellt, eventuell unterstützt durch eine telefonische Beratung. Nach dem Kauf vereinbart er dann über eine Webseitenschnittstelle gleich den Montagetermin. Die Werkstatt erhält die Terminanfrage in ihrem CRM und bestätigt per E-Mail. Zum Termin liegen die bestellten Reifen in der Werkstatt bereit und werden montiert.