Schattenwirtschaft

Malware-Entwicklung als Service

| Autor / Redakteur: Rüdiger Trost / Stephan Augsten

Die Ransomware CTBLocker zielte darauf ab, möglichst viele Kleinbeträge zu erpressen.
Die Ransomware CTBLocker zielte darauf ab, möglichst viele Kleinbeträge zu erpressen. (Bild: F-Secure)

Cybercrime ist ein Wachstumsmarkt. Doch die meisten Vorfälle sind nicht auf Hacking-Spezialisten zurückzuführen. Im Bereich der Schattenwirtschaft tummeln sich immer mehr Laien, die sich das schnelle Geld erhoffen. Dieser Beitrag bietet einen Vorgeschmack auf F-Secures Vortrag im Rahmen der IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2015.

Wenn es nach dem Threat Report von F-Secure geht, dann zeigte sich das Jahr 2014 wahrhaft erpresserisch: Wir verzeichneten einen Anstieg der Online-Attacken mit Ransomware, bei denen es nur darum ging, die Daten der potenziellen Opfer zu verschlüsseln und ein Lösegeld zu erpressen.

Für Endbenutzer ist Ransomware heute die bekannteste Art der digitalen Bedrohung. Und durch virtuelle Währungen wie etwa Bitcoin wird es immer einfacher für Kriminelle, an die Ransomware zu gelangen und es auf ihre Opfer anzuwenden, was die Sache für sie profitabler und nützlicher macht.

In diesem Zusammenhang macht seit Kurzem auch der Ransom Trojaner CTB-Locker von sich reden. Dieser Trojaner ist zum einen deswegen so heimtückisch, weil er für jedes Opfer seinen Hash-Wert neu generiert und damit signaturbasierte Virenscanner keine Chancen gibt, ihn zu erkennen. Zum anderen aber weil es bislang gibt es keine Möglichkeit, die Verschlüsselung von CTB-Locker aufzuheben.

Das „C“ in CTB steht für „Curve“ und ist die persistente Kryptographie auf Basis elliptischer Kurven, die die betroffenen Dateien mit einem einzigartigen RSA-Schlüssel verschlüsselt. Deswegen steht der Schadcode bei Cyber-Kriminellen auch so hoch im Kurs.

Wenn Laien mit Erfolgen prahlen

Der User redditCTB stellte sich im Februar 2015 einem „Ask me anyhing“ auf Reddit und behauptete, dass er mit CTB-Locker innerhalb weniger Wochen bis zu 300.000 US-Dollar machen konnte – ohne großes Risiko erwischt zu werden. Warum? Er habe das Lösegeld so gering gewählt, dass die Opfer bereit waren, zu bezahlen. Der finanzielle Schaden jedes Einzelnen ist überschaubar gewesen, wirklich hinterfragt wurde die Aktion nicht.

Ergänzendes zum Thema
 
Über die IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2015

Dass redditCTB offensichtlich nicht der eigentliche Entwickler von CTB-Locker war, stellte sich während der Fragerunde schnell heraus. Er ist nichts anderes als ein Kunde, der den Trojaner sowie ein Exploit Kit gekauft hat. Bei den Entwicklern handelt es sich um eine russische Gang, die den Trojaner vertrieben hatte. Warum treten die Entwickler mit einem Affiliate-Programm auf? Weil sie das entsprechende Know-How haben und fast keine Gesetze brechen.

Mit der Entwicklung und dem Vertrieb einer Malware macht man sich – zumindest in Russland – nur unwesentlich strafbar. Wer den Trojaner entwickelt, infiziert damit zunächst einmal keine Rechner, verschlüsselt keine Daten und verlangt auch kein Lösegeld. Er verkauft das Produkt lediglich an Menschen, die das eigentliche Verbrechen begehen.

So distanzieren sich die Entwickler von der eigentlichen Cyber-Kriminalität. Dieses Affiliate-Modell ist aber bekanntlich nicht neu. Ein Trojaner, der genauso wie CTB-Locker aus Russland kommt und auf die gleiche Weise vertrieben wird, ist der Banking-Trojaner Zeus. Das gleiche gilt im Übrigen für viele Exploit Kits.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43349512 / Malware)