Crypto-Ransomware

Das Alphatier unter den Trojanern

| Autor / Redakteur: Rüdiger Trost / Stephan Augsten

Mit Ransomware lässt sich gleich aus mehreren Gründen richtig viel Geld verdienen.
Mit Ransomware lässt sich gleich aus mehreren Gründen richtig viel Geld verdienen. (Bild: F-Secure)

Die Modelle, mit Malware Geld zu verdienen, unterliegen einem stetigen Wandel. Angreifer und Verteidiger machen Züge und Gegenzüge als Reaktion auf die jeweilige Entwicklung. Der eingeschlagene Weg ist oft unerwartet – und der Einfallsreichtum der Malware-Autoren mitunter faszinierend.

Crypto-Ransomware, eine Form von Malware, die auf Dateien abzielt, diese verschlüsselt und eine Entschlüsselung gegen Lösegeld in Aussicht stellt, liegt derzeit im Trend. Warum? Was sind die Marktkräfte, die Cyber-Kriminelle dazu verleiten, ihre Opfer direkt zu erpressen – anstatt heimlich Gelder von Bankkonten abzuschöpfen?

Zum einen haben die meisten großen Banken eine immer stärker werdende Backend-Abwehr mit Anti-Fraud-Algorithmen im Einsatz, um ungewöhnliche Transaktionen zu erkennen. Nachdem sie jahrelang Banking-Trojaner abwehren mussten, sind die Algorithmen fast schon überempfindlich geworden, um die Konten der Verbraucher bestmöglich zu schützen.

Selbst wenn ein Angreifer eine Man-in-the-Middle-Position erlangen kann, ist es immer noch sehr schwierig, sich das Konto eines Kunden zunutze zu machen. Solche verdeckten Aktionen sind zunehmend beschränkt auf erfahrene Kriminelle, die sich auf kleine und mittlere Unternehmen konzentrieren.

Um erfolgreich zu sein, erfordert ein Banking-Trojaner zudem viel Zeit und gute Tarnung. Aktuelle Versionen von Windows sind zunehmend weniger anfällig für versteckte, dauerhafte Malware-Bedrohungen oder zumindest für die gängige Bedrohung, die von den meisten Botnets ausgeht.

Vor einigen Jahren noch konnte ein Banking-Trojaner, der sich im Netzwerk eingenistet hat, Wochen oder Monate warten, bis eine Banking-Session startete. Heute jedoch begrenzen zahlreiche automatische Sicherheits-Updates die Zeit, in der Bedrohungen verborgen bleiben können. Dies treibt Angreifer dazu, die Taktik der Tarnung aufzugeben und stattdessen mehr in Richtung direkte Monetisierung zu gehen.

Ransomware wird „kundenfreundlicher“

Ransomware macht keinen Versuch, sich zu verstecken, sobald der Angreifer ein Opfer in seinem Griff hat. Diese Offenheit ist Teil des Prozesses und soll ein Gefühl der Alarmierung schaffen. Bevor Crypto-Ransomware auftauchte, setzten die meisten Cyberkriminellen auf Ransomware mit „Polizei-Themen“. Hierzu wurden Browser gekapert und den Benutzern damit gedroht, dass auf den angegriffenen Systemen kinderpornografische Inhalte gefunden werden.

Viele oder die meisten Opfer erkannten, dass so etwas normalerweise im Rahmen einer Razzia erfolgt, aber die Verlegenheit und die abschreckende Wirkung derartige Vorwürfen brachten ebenso viele Opfer dazu, zu zahlen. Allerdings ist gerade der Erfolg diesem System zum Verhängnis geworden. Als sich Nachrichten über diese Taktik verbreiteten, löste sich die abschreckende Wirkung in Luft auf.

Ergänzendes zum Thema
 
Über Rüdiger Trost
 
Über die IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2016

Und der größte Fehler der Browser-Locker? Eine Zahlung des Lösegelds bewirkt nichts: Bei Browser-Locker-Trojanern bleibt am Ende die Belohnung für das zahlende Opfer aus. Die bösen Jungs nehmen nur das Geld und machen sich aus dem Staub. Die Opfer sollten daher in so einem Fall niemals bezahlen!

Crypto-Malware hingegen ist anders. In den meisten der untersuchten Fälle führte die Lösegeldzahlung tatsächlich dazu, dass der Schlüssel für die Entschlüsselung bereitgestellt wurde. Die „Belohnung“ bei diesem Deal hat dazu beigetragen, dass das System aufrechterhalten werden und wachsen kann. Zwei Kernbestandteile seiner Technologie machen dies möglich: die versteckten Dienste des Tor-Netzwerks und die Cyberwährung Bitcoin.

Verschiedene Formen von Ransomware gibt es schon seit Jahren. Zunächst wurde bei den meisten davon dem Opfer mitgeteilt, dass seine Daten kompromittiert wurden. Einige versuchten später wichtige Dateien zu verschlüsseln, was der einfachere Teil war, zumindest in der Theorie. Die größere Herausforderung für alle Möchtegern-Erpresser war jedoch die Kommunikation mit den „Kunden“.

In den vergangenen Jahren war es unglaublich schwierig, den Opfern zu erklären, wie sie das Lösegeld zahlen sollen, damit der Zahlungsweg von den Strafverfolgungsbehörden nicht zurückverfolgt werden kann. Viele Betrüger versuchten es mit Premium-Telefonnummern und hofften, einen ordentlichen Gewinn zu machen, bevor diese entdeckt und gesperrt wurden.

Guter ‚Kundendienst‘ führt zum Erfolg

Die Dienste von Tor erleichtern solche „Kundenservice“-Probleme mit Opfern, die den Verschlüsselungs- oder Erpressungsprozess nicht verstehen. Einige Varianten bieten Links über Tor-Proxy-Dienste an, so dass sich die Opfer nicht mit der Installation eines Tor-Browsers beschäftigen müssen.

Crypto-Ransomware-Varianten wie CryptoWall bieten sogar einen – regelrecht unverschämt – guten Kundenservice, denn schlechter Service würde dem System schaden. Die Erpresser bieten Hilfestellung, FAQs und Formulare. Opfer oder „Kunden“, die Fragen stellen, werden in der Regel am selben Tag Antworten erhalten.

Bei Verhandlungen wurde auch beobachtet, dass die Erpresser manchmal die Höhe des Lösegeld herabgesetzt haben: für Opfer, die beweisen konnten, dass sie es sich nicht leisten können, den geforderten Preis (in der Regel rund 400 Euro) zu zahlen.

Die Bezahlung erfolgt über Bitcoin, was nicht völlig anonym ist, aber das Geld kann nicht zurückgefordert werden wie bei den E-Währungen in der Vergangenheit. Die versteckten Dienste von CryptoWall bieten einfache Links zu Bitcoin-Anbietern. 2016 scheint ein vielversprechendes Jahr für Crypto-Erpresser zu werden. Der Erfolg könnte nur gebremst werden durch die aktuellen Turbulenzen in der Bitcoin-Community. Ein Zusammenbruch der Preise für Bitcoin würde dem Crypto-Ransomware-Modell schaden, bis ein Bitcoin-Nachfolger gekrönt wäre.

Fakt ist: So oder so, der Markt für Erpressung wächst und der Wettbewerb nimmt zu. Sobald neue Spieler das Feld betreten, werden sie sich ´unterversorgte´ Kunden suchen. Crypto-Ransomware erweist sich als ein sehr profitables Geschäftsmodell und das sorgt für eine sehr starke Motivation, es auf alle verfügbaren OS-Plattformen auszudehnen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44054881 / Malware)