- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Erpressungssoftware zielt auf Unternehmen


Was wäre, wenn "Ransomware as a Service" (RaaS) und vorsätzlich handelnde Mitarbeiter ihre Kräfte vereinen?
Das Ransomware as a Service (RaaS)-Modell ist ein aufkommendes Konzept, mithilfe dessen Autoren von Erpressungssoftware dem Zwischenhändler maßgeschneiderte On-Demand-Versionen von Schadsoftware bereitstellen

- Anzeigen -





Autor: Imperva

Im neuesten Research Report folgt Imperva der Infektionskette und den Handlungsabläufen der CryptoWall 3.0 Erpressungssoftware im Hinblick auf Zahlungen von Opfern, wie diese Zahlungen sich zu einer kleinen Anzahl von Bitcoin-Wallets anhäufen und so einen Hinweis auf eine gut organisierte Handlung geben. In dieser Follow-up-Forschung wird schwerpunktmäßig ein weiterer, stetig wachsender Trend in der Erpressungssoftware-Industrie behandelt, der Spendensammlungen von der Verbreitung von Schadsoftware abnabelt. Dies ist noch ein weiterer Datenpunkt, der die Existenz einer blühenden Industrie aufzeigt, in der mehrere Wirtschaftsmodelle den unerträglichen Komfort der Cyberkriminalität ausnutzen.

Das Ransomware as a Service (RaaS)-Modell ist ein aufkommendes Konzept, mithilfe dessen Autoren von Erpressungssoftware dem Zwischenhändler maßgeschneiderte On-Demand-Versionen von Schadsoftware bereitstellen. Die Autoren der Erpressungssoftware sammeln das Lösegeld ein und teilen es mit dem Zwischenhändler. Ein klassisches "Geschäftspartner”-Vertriebsmodell, das von anderen Seiten im Internet bekannt ist.

Dadurch bleiben die Autoren von Malware in ihrer Komfortzone der Programmierung von Software, während Zwischenhändler, die auf Spam, Malvertisement oder BlackHat SEO spezialisiert sind, eine neue Einkommensquelle erschaffen, die auf ihren existierenden Plattformen basieren. Im klassischen Geschäftspartner-Marketing bekommt der Besitzer des Produkts den größeren Anteil des Geldes. Im RaaS hingegen erhält der Autor der Erpressungssoftware einen kleinen Anteil der Spenden (5 – 25 Prozent), während der Rest an den Geschäftspartner geht. Der RaaS-Autor bekommt das Lösegeld des Opfers, indem er Bitcoins verwendet. Dem Distributor wird sein Anteil versprochen, wenn er seine anonyme Bitcoin-Adresse zur Anmeldung nutzt. Dieses Modell, das auf TOR und Bitcoins basiert, wurde entwickelt, um die Identitäten des Autors und des Zwischenhändlers vor Gesetzesvollzugs-Agenturen zu verbergen.

Im letzten Jahr wurden einige RaaS-Schadsoftwares gesichtet. RaaS Tox war der Vorreiter und wurde Mitte 2015 das erste Mal gesichtet. Nachdem die Daten von mindestens 1.000 Computern verschlüsselt wurden, entschied sich der Tox-Autor, aus dem Geschäft auszusteigen und versuchte seine Erfindung zu verkaufen. Tox erlaubte dem Zwischenhändler, einen Lösegeldsatz festzulegen und seine Bitcoin-Wallet-Adresse zu verwenden, um die Gewinne einzusammeln.

Encryptor RaaS ist eine weitere RaaS, die im Juli 2015 von jemandem namens Jeiphoos veröffentlicht wurde. Als dieser Blogeintrag verfasst wurde, war die TOR-Webseite noch erreichbar. Encryptor RaaS erlaubt es dem Zwischenhändler, viele Erpressungssoftware-Parameter zu konfigurieren, beispielsweise den Lösegeldpreis, die Zeitbeschränkung für die Bezahlung, den Wert des neuen Lösegelds, sobald die Zeitbeschränkung abgelaufen ist sowie die Anzahl der Dateien, die gratis entschlüsselt werden können (um dem Opfer zu beweisen, dass die Daten sicher, aber verschlüsselt sind).

Außerdem ermöglicht Encryptor RaaS dem Zwischenhändler, die Datei mit der Erpressungssoftware zu unterschreiben, indem er ein Zertifikat verwendet, das dem Opfer (beziehungsweise seinem Betriebssystem) vorgaukelt, das die Datenquelle vertrauenswürdig ist, während er viele Endpunkt-Schutzmechanismen komplett umgeht. Vergangene Berichte deuteten darauf hin, dass VeriSign das Zertifikat an eine chinesische Firma ausgestellt hatte. Momentan verwendet RaaS ein anderes Zertifikat, das von WoSign an eine verdächtige Firma (Mi You Network Technology Co., Ltd.) ausgestellt wurde. Sein Ursprungszertifikat wurde von StartCom unterschrieben.

Im November 2015 tauchte noch ein RaaS mit dem Namen Cryptolocker auf. Ein Cryptolocker-Autor gab sich selbst als "Fakben" zu erkennen und forderte eine Gebühr von 50 US-Dollar vom Zwischenhändler, um die grundlegende Erpressungssoftware zu bekommen. Dies erlaubte ihm, den Lösegeldpreis, seine Wallet-Adresse und ein Passwort festzulegen. Momentan ist die Cryptolocker RaaS TOR Webseite nicht erreichbar.

Ein viertes RaaS, das Anfang 2016 aufkam und nach wie vor aktiv ist, ist Ransom32. Ransom32 ist die erste Erpressungssoftware, die in JavaScript geschrieben ist, was es relativ einfach macht, sie an verschiedene Betriebssysteme anzupassen. Ransom32 ermöglicht es dem Distributor, eine Vielzahl an Anpassungen zusätzlich zu den vorgestellten Basisoptionen vorzunehmen.

Einige Beispiele sind:
>>
Die vollständige Sperrung des Computer des Opfers bei der Infektion
>> Verhinderung einer Entdeckung mithilfe des Gebrauchs von niedriger CPU-Leistung für die Verschlüsselung
>> Die Entscheidung darüber, ob die Lösegeldnachricht vor oder nach der Verschlüsselung angezeigt wird
>> Benutzung einer verdeckten Zeitbeschränkung, die dem Kunden ermöglicht, die Dateien nur zur verschlüsseln, wenn die Zeitbeschränkung abgelaufen ist

Die massive Verbreitung von Spam und die effektive Erstellung von Malvertisement-Kampagnen erfordern spezielle Fähigkeiten und Infrastrukturmanagement. RaaS reduziert die Anzahl an Fähigkeiten, hauptsächlich technische Fähigkeiten, die für das Betreiben einer erfolgreichen Erpressungssoftware-Kampagne notwendig sind.

Vergangenen Februar berichtete das Hollywood Presbyterian Medical Center, dass seine EMR-Systemaufzeichnungen verschlüsselt wurden und eine Lösegeldforderung einging. Das Krankenhaus bezahlte 17.000 Dollar in Bitcoins, um seine Daten freizugeben und das Tagesgeschäft wieder aufzunehmen. Die Abläufe des Krankenhauses wurden eine Woche lang erheblich beeinträchtigt und einige Patienten mussten verlegt werden. Die IT der Kommune Lincolnshire County war in der Lage, sich von einem solchen Angriff im Januar 2016 zu erholen, indem sie regelmäßige Backups durchführten. Tewksbury P.D., Massachusetts bezahlte im Jahr ein Lösegeld in Bitcoins, um Daten wieder freizuschalten, die von Erpressungssoftware verschlüsselt wurden.

RaaS und Insider: Ein tödliches Team
Vorsätzlich handelnde Mitarbeiter können ihre geheimen Informationen über unstrukturierte Daten von Unternehmen, ihr Wissen darüber, wo sich sensible Daten befinden und ihre Befugnisse ausnutzen, um die wertvollsten Daten zu verschlüsseln. Darüber hinaus wissen sie, wie viel den Unternehmen diese Daten Wert sind und können daraus für sich ableiten, wie viel Lösegeld sie für die Entschlüsselung der Daten verlangen können. Imperva weiß, dass vorsätzlich handelnde Mitarbeiter vor allem finanzielle Interessen haben, und die Nutzung von RaaS in Unternehmen einfach, sicher und profitabel ist. Zukünftige, anpassbare RaaS-Parameter könnten noch spezifischer sein und zudem geschäftsbezogene Informationen enthalten, beispielsweise welche Netzwerkfreigaben von Interesse sind sowie relevante Referenzen. Es ist denkbar, dass vorsätzlich handelnde Mitarbeiter RaaS verwenden könnten, um ihr Unternehmen zu erpressen. (Imperva: ra)

eingetragen: 29.04.16
Home & Newsletterlauf: 31.05.16


Imperva: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • IAM eine der grundlegenden Sicherheitsmaßnahme

    Wenn man die Analogie zum Fußball bemühen will, dann hat der Erfolg einer IT-Sicherheitsabteilung maßgeblich mit einer guten Verteidigung zu tun. Es kommt darauf an, dass die Abwehr geschlossen steht und der Gegner am besten gar nicht erst zum Schuss oder auch nur in eine dafür geeignete Position gelangt. Die beste Voraussetzung für einen Sieg. Ein Bild, dass sich durchaus auf den Datenschutz und das Zusammenwirken unterschiedlicher Sicherheitsebenen übertragen lässt. Im Idealfall hält ein mehrschichtiger Sicherheitsansatz Cyberkriminelle davon ab "ein Tor zu machen" - sprich in ein Netzwerk vorzudringen, an Unternehmensdaten zu gelangen, diese zu entwenden und zu missbrauchen.

  • Angriffe, die keinem bekannten Muster folgen

    Technologien, die auf künstlicher Intelligenz basieren, sind inzwischen weit verbreitet und für hunderttausende IT-Sicherheitsexperten auf der ganzen Welt zugänglich. Forscher müssen dank künstlicher Intelligenz nicht mehr am Computer Unmengen von Zahlen und Daten analysieren. Der Siegeszug der KI hat einige Gründe. Einer davon ist die zur Verfügung stehende Rechenleistung. Wirtschaftliche Cloud-Lösungen und bedienerfreundliche Tools haben ebenfalls dazu beigetragen ausgereiftes maschinelles Lernen und Algorithmen, die auf künstlicher Intelligenz beruhen, einem breiten Kreis von Anwendern zugänglich zu machen und mithilfe dieser Tools Probleme zu lösen.

  • Angreifer werden zunehmend hartnäckiger

    Unternehmen, die im Umbruch sind, scheinen besonders gefährdet zu sein, Opfer von Hacking-Angriffen zu werden. Laut des gerade erst veröffentlichten M-Trends Reports von FireEye, scheint sich ein Trend abzuzeichnen, dass Unternehmen oder Organisationen, die einen Merger & Acquisition-Prozess durchlaufen, gezielt ins Visier von Cyber-Bedroher geraten. Schwächstes Glied in der Kette ist demnach der Mitarbeiter: Phishing-E-Mails sind die wichtigsten Einfallstore für Hacker, um via einem gefälschten Link oder verseuchten Anhängen Zugriffe auf ein Netzwerk zu erlangen.

  • Hype um die Sicherheit

    Von Automobilherstellern über Chemie- und Industrieunternehmen bis zum verarbeitenden Gewerbe - Robotic Process Automation (RPA) findet in verschiedenen Branchen Anwendung und führt dort zu wirtschaftlichen Vorteilen. Besonders etabliert hat sich der Einsatz von Software-Robotern in den Bereichen Finanzen und Buchhaltung sowie IT, Personalwesen und Einkauf, wo sensible Informationen im Umlauf sind. "Durch den Einsatz von RPA lassen sich administrative Aufwände rund um den Datenschutz erheblich vereinfachen", erklärt Alexander Steiner, Chief Solution Architect der meta:proc GmbH. "Gleichzeitig gilt es einige Dinge zu beachten, wenn der Bot vollen Zugriff auf sensible Kundendaten erhält."

  • Algorithmen in einer Post-Quantum-Welt

    Die National Academies of Sciences, Engineering and Medicine veröffentlichte einen neuen Bericht, in dem sie Fortschritte und Perspektiven - oder deren Fehlen - rund um das Thema Quantencomputer - untersucht hat. Der Report skizziert verschiedene technische und finanzielle Probleme, die es zu überwinden gilt, bevor man einen funktionsfähigen Quantencomputer bauen kann. Selbst für Prognosen für die zeitliche Entwicklung der Technologie ist es nach Ansicht der Wissenschaftler noch zu früh. Auch wenn das für einige überraschend klingen mag: die Art der Fortschritte auf diesem Gebiet und das technologische Wachstum haben sich im Laufe der Jahre so dramatisch verändert, dass einige Experten davon ausgehen, dass wir möglicherweise nie eine groß angelegte Implementierung sehen werden.