- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Erpressungssoftware zielt auf Unternehmen


Was wäre, wenn "Ransomware as a Service" (RaaS) und vorsätzlich handelnde Mitarbeiter ihre Kräfte vereinen?
Das Ransomware as a Service (RaaS)-Modell ist ein aufkommendes Konzept, mithilfe dessen Autoren von Erpressungssoftware dem Zwischenhändler maßgeschneiderte On-Demand-Versionen von Schadsoftware bereitstellen



Autor: Imperva

Im neuesten Research Report folgt Imperva der Infektionskette und den Handlungsabläufen der CryptoWall 3.0 Erpressungssoftware im Hinblick auf Zahlungen von Opfern, wie diese Zahlungen sich zu einer kleinen Anzahl von Bitcoin-Wallets anhäufen und so einen Hinweis auf eine gut organisierte Handlung geben. In dieser Follow-up-Forschung wird schwerpunktmäßig ein weiterer, stetig wachsender Trend in der Erpressungssoftware-Industrie behandelt, der Spendensammlungen von der Verbreitung von Schadsoftware abnabelt. Dies ist noch ein weiterer Datenpunkt, der die Existenz einer blühenden Industrie aufzeigt, in der mehrere Wirtschaftsmodelle den unerträglichen Komfort der Cyberkriminalität ausnutzen.

Das Ransomware as a Service (RaaS)-Modell ist ein aufkommendes Konzept, mithilfe dessen Autoren von Erpressungssoftware dem Zwischenhändler maßgeschneiderte On-Demand-Versionen von Schadsoftware bereitstellen. Die Autoren der Erpressungssoftware sammeln das Lösegeld ein und teilen es mit dem Zwischenhändler. Ein klassisches "Geschäftspartner”-Vertriebsmodell, das von anderen Seiten im Internet bekannt ist.

Dadurch bleiben die Autoren von Malware in ihrer Komfortzone der Programmierung von Software, während Zwischenhändler, die auf Spam, Malvertisement oder BlackHat SEO spezialisiert sind, eine neue Einkommensquelle erschaffen, die auf ihren existierenden Plattformen basieren. Im klassischen Geschäftspartner-Marketing bekommt der Besitzer des Produkts den größeren Anteil des Geldes. Im RaaS hingegen erhält der Autor der Erpressungssoftware einen kleinen Anteil der Spenden (5 – 25 Prozent), während der Rest an den Geschäftspartner geht. Der RaaS-Autor bekommt das Lösegeld des Opfers, indem er Bitcoins verwendet. Dem Distributor wird sein Anteil versprochen, wenn er seine anonyme Bitcoin-Adresse zur Anmeldung nutzt. Dieses Modell, das auf TOR und Bitcoins basiert, wurde entwickelt, um die Identitäten des Autors und des Zwischenhändlers vor Gesetzesvollzugs-Agenturen zu verbergen.

Im letzten Jahr wurden einige RaaS-Schadsoftwares gesichtet. RaaS Tox war der Vorreiter und wurde Mitte 2015 das erste Mal gesichtet. Nachdem die Daten von mindestens 1.000 Computern verschlüsselt wurden, entschied sich der Tox-Autor, aus dem Geschäft auszusteigen und versuchte seine Erfindung zu verkaufen. Tox erlaubte dem Zwischenhändler, einen Lösegeldsatz festzulegen und seine Bitcoin-Wallet-Adresse zu verwenden, um die Gewinne einzusammeln.

Encryptor RaaS ist eine weitere RaaS, die im Juli 2015 von jemandem namens Jeiphoos veröffentlicht wurde. Als dieser Blogeintrag verfasst wurde, war die TOR-Webseite noch erreichbar. Encryptor RaaS erlaubt es dem Zwischenhändler, viele Erpressungssoftware-Parameter zu konfigurieren, beispielsweise den Lösegeldpreis, die Zeitbeschränkung für die Bezahlung, den Wert des neuen Lösegelds, sobald die Zeitbeschränkung abgelaufen ist sowie die Anzahl der Dateien, die gratis entschlüsselt werden können (um dem Opfer zu beweisen, dass die Daten sicher, aber verschlüsselt sind).

Außerdem ermöglicht Encryptor RaaS dem Zwischenhändler, die Datei mit der Erpressungssoftware zu unterschreiben, indem er ein Zertifikat verwendet, das dem Opfer (beziehungsweise seinem Betriebssystem) vorgaukelt, das die Datenquelle vertrauenswürdig ist, während er viele Endpunkt-Schutzmechanismen komplett umgeht. Vergangene Berichte deuteten darauf hin, dass VeriSign das Zertifikat an eine chinesische Firma ausgestellt hatte. Momentan verwendet RaaS ein anderes Zertifikat, das von WoSign an eine verdächtige Firma (Mi You Network Technology Co., Ltd.) ausgestellt wurde. Sein Ursprungszertifikat wurde von StartCom unterschrieben.

Im November 2015 tauchte noch ein RaaS mit dem Namen Cryptolocker auf. Ein Cryptolocker-Autor gab sich selbst als "Fakben" zu erkennen und forderte eine Gebühr von 50 US-Dollar vom Zwischenhändler, um die grundlegende Erpressungssoftware zu bekommen. Dies erlaubte ihm, den Lösegeldpreis, seine Wallet-Adresse und ein Passwort festzulegen. Momentan ist die Cryptolocker RaaS TOR Webseite nicht erreichbar.

Ein viertes RaaS, das Anfang 2016 aufkam und nach wie vor aktiv ist, ist Ransom32. Ransom32 ist die erste Erpressungssoftware, die in JavaScript geschrieben ist, was es relativ einfach macht, sie an verschiedene Betriebssysteme anzupassen. Ransom32 ermöglicht es dem Distributor, eine Vielzahl an Anpassungen zusätzlich zu den vorgestellten Basisoptionen vorzunehmen.

Einige Beispiele sind:
>>
Die vollständige Sperrung des Computer des Opfers bei der Infektion
>> Verhinderung einer Entdeckung mithilfe des Gebrauchs von niedriger CPU-Leistung für die Verschlüsselung
>> Die Entscheidung darüber, ob die Lösegeldnachricht vor oder nach der Verschlüsselung angezeigt wird
>> Benutzung einer verdeckten Zeitbeschränkung, die dem Kunden ermöglicht, die Dateien nur zur verschlüsseln, wenn die Zeitbeschränkung abgelaufen ist

Die massive Verbreitung von Spam und die effektive Erstellung von Malvertisement-Kampagnen erfordern spezielle Fähigkeiten und Infrastrukturmanagement. RaaS reduziert die Anzahl an Fähigkeiten, hauptsächlich technische Fähigkeiten, die für das Betreiben einer erfolgreichen Erpressungssoftware-Kampagne notwendig sind.

Vergangenen Februar berichtete das Hollywood Presbyterian Medical Center, dass seine EMR-Systemaufzeichnungen verschlüsselt wurden und eine Lösegeldforderung einging. Das Krankenhaus bezahlte 17.000 Dollar in Bitcoins, um seine Daten freizugeben und das Tagesgeschäft wieder aufzunehmen. Die Abläufe des Krankenhauses wurden eine Woche lang erheblich beeinträchtigt und einige Patienten mussten verlegt werden. Die IT der Kommune Lincolnshire County war in der Lage, sich von einem solchen Angriff im Januar 2016 zu erholen, indem sie regelmäßige Backups durchführten. Tewksbury P.D., Massachusetts bezahlte im Jahr ein Lösegeld in Bitcoins, um Daten wieder freizuschalten, die von Erpressungssoftware verschlüsselt wurden.

RaaS und Insider: Ein tödliches Team
Vorsätzlich handelnde Mitarbeiter können ihre geheimen Informationen über unstrukturierte Daten von Unternehmen, ihr Wissen darüber, wo sich sensible Daten befinden und ihre Befugnisse ausnutzen, um die wertvollsten Daten zu verschlüsseln. Darüber hinaus wissen sie, wie viel den Unternehmen diese Daten Wert sind und können daraus für sich ableiten, wie viel Lösegeld sie für die Entschlüsselung der Daten verlangen können. Imperva weiß, dass vorsätzlich handelnde Mitarbeiter vor allem finanzielle Interessen haben, und die Nutzung von RaaS in Unternehmen einfach, sicher und profitabel ist. Zukünftige, anpassbare RaaS-Parameter könnten noch spezifischer sein und zudem geschäftsbezogene Informationen enthalten, beispielsweise welche Netzwerkfreigaben von Interesse sind sowie relevante Referenzen. Es ist denkbar, dass vorsätzlich handelnde Mitarbeiter RaaS verwenden könnten, um ihr Unternehmen zu erpressen. (Imperva: ra)

eingetragen: 29.04.16
Home & Newsletterlauf: 31.05.16


Imperva: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Zertifikat ist allerdings nicht gleich Zertifikat

    Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

  • Datensicherheit und -kontrolle mit CASBs

    Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

  • KI: Neue Spielregeln für IT-Sicherheit

    Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

  • DDoS-Angriffe nehmen weiter Fahrt auf

    DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

  • Fluch und Segen des Darkwebs

    Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.