- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Erpressungssoftware zielt auf Unternehmen


Was wäre, wenn "Ransomware as a Service" (RaaS) und vorsätzlich handelnde Mitarbeiter ihre Kräfte vereinen?
Das Ransomware as a Service (RaaS)-Modell ist ein aufkommendes Konzept, mithilfe dessen Autoren von Erpressungssoftware dem Zwischenhändler maßgeschneiderte On-Demand-Versionen von Schadsoftware bereitstellen

- Anzeigen -





Autor: Imperva

Im neuesten Research Report folgt Imperva der Infektionskette und den Handlungsabläufen der CryptoWall 3.0 Erpressungssoftware im Hinblick auf Zahlungen von Opfern, wie diese Zahlungen sich zu einer kleinen Anzahl von Bitcoin-Wallets anhäufen und so einen Hinweis auf eine gut organisierte Handlung geben. In dieser Follow-up-Forschung wird schwerpunktmäßig ein weiterer, stetig wachsender Trend in der Erpressungssoftware-Industrie behandelt, der Spendensammlungen von der Verbreitung von Schadsoftware abnabelt. Dies ist noch ein weiterer Datenpunkt, der die Existenz einer blühenden Industrie aufzeigt, in der mehrere Wirtschaftsmodelle den unerträglichen Komfort der Cyberkriminalität ausnutzen.

Das Ransomware as a Service (RaaS)-Modell ist ein aufkommendes Konzept, mithilfe dessen Autoren von Erpressungssoftware dem Zwischenhändler maßgeschneiderte On-Demand-Versionen von Schadsoftware bereitstellen. Die Autoren der Erpressungssoftware sammeln das Lösegeld ein und teilen es mit dem Zwischenhändler. Ein klassisches "Geschäftspartner”-Vertriebsmodell, das von anderen Seiten im Internet bekannt ist.

Dadurch bleiben die Autoren von Malware in ihrer Komfortzone der Programmierung von Software, während Zwischenhändler, die auf Spam, Malvertisement oder BlackHat SEO spezialisiert sind, eine neue Einkommensquelle erschaffen, die auf ihren existierenden Plattformen basieren. Im klassischen Geschäftspartner-Marketing bekommt der Besitzer des Produkts den größeren Anteil des Geldes. Im RaaS hingegen erhält der Autor der Erpressungssoftware einen kleinen Anteil der Spenden (5 – 25 Prozent), während der Rest an den Geschäftspartner geht. Der RaaS-Autor bekommt das Lösegeld des Opfers, indem er Bitcoins verwendet. Dem Distributor wird sein Anteil versprochen, wenn er seine anonyme Bitcoin-Adresse zur Anmeldung nutzt. Dieses Modell, das auf TOR und Bitcoins basiert, wurde entwickelt, um die Identitäten des Autors und des Zwischenhändlers vor Gesetzesvollzugs-Agenturen zu verbergen.

Im letzten Jahr wurden einige RaaS-Schadsoftwares gesichtet. RaaS Tox war der Vorreiter und wurde Mitte 2015 das erste Mal gesichtet. Nachdem die Daten von mindestens 1.000 Computern verschlüsselt wurden, entschied sich der Tox-Autor, aus dem Geschäft auszusteigen und versuchte seine Erfindung zu verkaufen. Tox erlaubte dem Zwischenhändler, einen Lösegeldsatz festzulegen und seine Bitcoin-Wallet-Adresse zu verwenden, um die Gewinne einzusammeln.

Encryptor RaaS ist eine weitere RaaS, die im Juli 2015 von jemandem namens Jeiphoos veröffentlicht wurde. Als dieser Blogeintrag verfasst wurde, war die TOR-Webseite noch erreichbar. Encryptor RaaS erlaubt es dem Zwischenhändler, viele Erpressungssoftware-Parameter zu konfigurieren, beispielsweise den Lösegeldpreis, die Zeitbeschränkung für die Bezahlung, den Wert des neuen Lösegelds, sobald die Zeitbeschränkung abgelaufen ist sowie die Anzahl der Dateien, die gratis entschlüsselt werden können (um dem Opfer zu beweisen, dass die Daten sicher, aber verschlüsselt sind).

Außerdem ermöglicht Encryptor RaaS dem Zwischenhändler, die Datei mit der Erpressungssoftware zu unterschreiben, indem er ein Zertifikat verwendet, das dem Opfer (beziehungsweise seinem Betriebssystem) vorgaukelt, das die Datenquelle vertrauenswürdig ist, während er viele Endpunkt-Schutzmechanismen komplett umgeht. Vergangene Berichte deuteten darauf hin, dass VeriSign das Zertifikat an eine chinesische Firma ausgestellt hatte. Momentan verwendet RaaS ein anderes Zertifikat, das von WoSign an eine verdächtige Firma (Mi You Network Technology Co., Ltd.) ausgestellt wurde. Sein Ursprungszertifikat wurde von StartCom unterschrieben.

Im November 2015 tauchte noch ein RaaS mit dem Namen Cryptolocker auf. Ein Cryptolocker-Autor gab sich selbst als "Fakben" zu erkennen und forderte eine Gebühr von 50 US-Dollar vom Zwischenhändler, um die grundlegende Erpressungssoftware zu bekommen. Dies erlaubte ihm, den Lösegeldpreis, seine Wallet-Adresse und ein Passwort festzulegen. Momentan ist die Cryptolocker RaaS TOR Webseite nicht erreichbar.

Ein viertes RaaS, das Anfang 2016 aufkam und nach wie vor aktiv ist, ist Ransom32. Ransom32 ist die erste Erpressungssoftware, die in JavaScript geschrieben ist, was es relativ einfach macht, sie an verschiedene Betriebssysteme anzupassen. Ransom32 ermöglicht es dem Distributor, eine Vielzahl an Anpassungen zusätzlich zu den vorgestellten Basisoptionen vorzunehmen.

Einige Beispiele sind:
>>
Die vollständige Sperrung des Computer des Opfers bei der Infektion
>> Verhinderung einer Entdeckung mithilfe des Gebrauchs von niedriger CPU-Leistung für die Verschlüsselung
>> Die Entscheidung darüber, ob die Lösegeldnachricht vor oder nach der Verschlüsselung angezeigt wird
>> Benutzung einer verdeckten Zeitbeschränkung, die dem Kunden ermöglicht, die Dateien nur zur verschlüsseln, wenn die Zeitbeschränkung abgelaufen ist

Die massive Verbreitung von Spam und die effektive Erstellung von Malvertisement-Kampagnen erfordern spezielle Fähigkeiten und Infrastrukturmanagement. RaaS reduziert die Anzahl an Fähigkeiten, hauptsächlich technische Fähigkeiten, die für das Betreiben einer erfolgreichen Erpressungssoftware-Kampagne notwendig sind.

Vergangenen Februar berichtete das Hollywood Presbyterian Medical Center, dass seine EMR-Systemaufzeichnungen verschlüsselt wurden und eine Lösegeldforderung einging. Das Krankenhaus bezahlte 17.000 Dollar in Bitcoins, um seine Daten freizugeben und das Tagesgeschäft wieder aufzunehmen. Die Abläufe des Krankenhauses wurden eine Woche lang erheblich beeinträchtigt und einige Patienten mussten verlegt werden. Die IT der Kommune Lincolnshire County war in der Lage, sich von einem solchen Angriff im Januar 2016 zu erholen, indem sie regelmäßige Backups durchführten. Tewksbury P.D., Massachusetts bezahlte im Jahr ein Lösegeld in Bitcoins, um Daten wieder freizuschalten, die von Erpressungssoftware verschlüsselt wurden.

RaaS und Insider: Ein tödliches Team
Vorsätzlich handelnde Mitarbeiter können ihre geheimen Informationen über unstrukturierte Daten von Unternehmen, ihr Wissen darüber, wo sich sensible Daten befinden und ihre Befugnisse ausnutzen, um die wertvollsten Daten zu verschlüsseln. Darüber hinaus wissen sie, wie viel den Unternehmen diese Daten Wert sind und können daraus für sich ableiten, wie viel Lösegeld sie für die Entschlüsselung der Daten verlangen können. Imperva weiß, dass vorsätzlich handelnde Mitarbeiter vor allem finanzielle Interessen haben, und die Nutzung von RaaS in Unternehmen einfach, sicher und profitabel ist. Zukünftige, anpassbare RaaS-Parameter könnten noch spezifischer sein und zudem geschäftsbezogene Informationen enthalten, beispielsweise welche Netzwerkfreigaben von Interesse sind sowie relevante Referenzen. Es ist denkbar, dass vorsätzlich handelnde Mitarbeiter RaaS verwenden könnten, um ihr Unternehmen zu erpressen. (Imperva: ra)

eingetragen: 29.04.16
Home & Newsletterlauf: 31.05.16


Imperva: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Volumetrische DDoS-Angriffe abwehren

    Experten sind sich einig. IoT-Geräte - gerade für Endverbraucher - bekommen mangelnde Sicherheit quasi automatisch mitgeliefert. Und wir in den letzten Wochen die Quittung. Für Sicherheitsspezialisten keine große Überraschung, sie warnen schon lange. Die jüngsten Angriffe aber haben gezeigt, in welche Dimensionen uns IoT-basierte Botnetze bei DDoS-Angriffen katapultieren und welche Schäden sie in der Lage sind anzurichten. Die Attacke auf den DNS-Provider Dyn im Oktober dieses Jahres war ein solcher Weckruf. Das prognostizierte Szenario ist keine bloß theoretische Annahme mehr, sondern real. Und es gibt Handlungsbedarf. Unternehmen und Verbraucher fragen sich angesichts einer steigenden Zahl von im Internet der Dinge verbundenen Geräten wie sie sich besser schützen können. Es ist kein großes Geheimnis, dass IoT-fähige Geräte aus sicherheitstechnischer Hinsicht wenig überzeugend sind. Die überwiegende Zahl von ihnen integriert kaum Sicherheitsmechanismen, und ist mit äußerst simplen Standard-Passwörtern ausgestattet. Das macht die Geräte für potenzielle Angreifer zu einer leichten Beute. Die Folge: Hacker machen sie beispielsweise zum Teil eines Botnetzes von dem DDoS-Angriffe mit enormer Bandbreite ausgehen können.

  • S/MIME und wie es funktioniert

    S/MIME, oder Secure/Multipurpose Internet Mail Extensions, ist eine relativ bekannte Technologie um E-Mails zu verschlüsseln. S/MIME basiert auf asymmetrischer Verschlüsselung, um E-Mails vor unerwünschtem Zugriff zu schützen. Zusätzlich dient S/MIME dazu E-Mails digital zu signieren, um den legitimen Absender einer Nachricht als solchen zu verifizieren. Das macht S/MIME zu einer effektiven Waffe gegen verschiedene Arten von Phishing-Angriffen. Das ist, kurz gefasst, worum bei S/MIME geht. Wenn es allerdings darum geht, S/MIME praktisch einzusetzen, taucht meist noch eine Reihe von Fragen beim Anwender auf.

  • Zugriffskontrolle & Berechtigungsmanagement

    Gesetze, Vorschriften und Konzepte sind immer nur so tragfähig sind wie die Menschen, die sie umsetzen sollen, tatsächlich dahinter stehen - und mehr noch: wie sehr die Beteiligten in die Entscheidungen mit einbezogen werden. Dr. Cavoukian, nach ihrer politischen Karriere inzwischen Executive Director of Ryerson University's Privacy and Big Data Institute hat maßgeblich das Privacy by Design-Konzept mit entwickelt. Darüber hinaus, und das ist es, was uns an dieser Stelle interessieren soll, haben ihre Sprachregelungen Eingang in die 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung gefunden. Ihr Credo hat sich nach eigenen Aussagen in der Praxis bestens bewährt: "Sie würden vermutlich überrascht sein, wie sehr Kunden sich unter diesen Bedingungen im gesamten Prozess engagieren. Warum? Weil Sie zunächst eine Vertrauensbasis geschaffen haben. Und: Ihre Kunden fühlen sich mit ihrem Bedürfnis nach Privatsphäre und Datenschutz ernst genommen."

  • Schutz der Privatsphäre als Standard

    Dr. Ann Cavoukian, eine kanadische Datenschützerin, hat maßgeblich das Privacy by Design-Konzept mit entwickelt. Darüber hinaus, und das ist es, was uns an dieser Stelle interessieren soll, haben ihre Sprachregelungen Eingang in die 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung gefunden. Privacy by Design ist übrigens ganz und gar keine neue Idee und wurde bereits 1990 entwickelt. Es erlangt allerdings vor allem in Bezug auf das Internet der Dinge wieder verstärkt Bedeutung. Gerade in der Wirtschaft war und ist allerdings vielfach zu hören, dass sich Privacy by Design-Grundsätze nur eingeschränkt mit technologischem Fortschritt und wirtschaftlicher Prosperität verbinden lassen. Das sieht Cavoukian, die auch Regierungsbehörden und Unternehmen berät, anders. Ihrer Meinung nach lässt sich ein Big Data-Anspruch sehr wohl mit dem Schutz der Privatsphäre verbinden. Die Botschaft von Cavoukian mutet simpel an, die ehemalige Politikerin und Wissenschaftlerin ist aber überzeugt, dass es möglich ist Daten zu erheben und gleichzeitig die Privatsphäre zu schützen.

  • DDoS-Angriffe, die unterschätzte Gefahr

    Distributed-Denial-of-Service (DDoS)-Attacken haben es in den letzten Monaten und Wochen zu einiger Popularität gebracht. Eine ganze Reihe von spektakuläre Angriffen hat die Headlines beherrscht (und das nicht nur wie sonst in den Fachmedien). Dazu gehörten beispielsweise die Angriffe auf fünf große russische Banken sowie das UK "FBI" wie The Register vermeldete. Und am Montag dieser Woche staatliche Server in Luxemburg. Im Licht dieser Attacken betrachtet wird schnell deutlich wieso es für Firmen und Institutionen so wichtig ist, sich vor den potenziellen und zum Teil nicht sofort ersichtlichen Folgen eines solchen Angriffs zu schützen. DDoS-Angriffe sind längst nicht mehr allein dazu da einen bestimmten Dienst, eine bestimmte Website, ein Unternehmen durch eine Flut von Serveranfragen lahm zu legen. Sie haben sich inzwischen deutlich weiter entwickelt und dienen immer häufiger dazu groß angelegte Cyberangriffe zu verschleiern. Dazu gehören alle Arten von Datenschutzverletzungen, die nicht zuletzt finanzielle Schäden anrichten.