- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Erpressungssoftware zielt auf Unternehmen


Was wäre, wenn "Ransomware as a Service" (RaaS) und vorsätzlich handelnde Mitarbeiter ihre Kräfte vereinen?
Das Ransomware as a Service (RaaS)-Modell ist ein aufkommendes Konzept, mithilfe dessen Autoren von Erpressungssoftware dem Zwischenhändler maßgeschneiderte On-Demand-Versionen von Schadsoftware bereitstellen

- Anzeigen -





Autor: Imperva

Im neuesten Research Report folgt Imperva der Infektionskette und den Handlungsabläufen der CryptoWall 3.0 Erpressungssoftware im Hinblick auf Zahlungen von Opfern, wie diese Zahlungen sich zu einer kleinen Anzahl von Bitcoin-Wallets anhäufen und so einen Hinweis auf eine gut organisierte Handlung geben. In dieser Follow-up-Forschung wird schwerpunktmäßig ein weiterer, stetig wachsender Trend in der Erpressungssoftware-Industrie behandelt, der Spendensammlungen von der Verbreitung von Schadsoftware abnabelt. Dies ist noch ein weiterer Datenpunkt, der die Existenz einer blühenden Industrie aufzeigt, in der mehrere Wirtschaftsmodelle den unerträglichen Komfort der Cyberkriminalität ausnutzen.

Das Ransomware as a Service (RaaS)-Modell ist ein aufkommendes Konzept, mithilfe dessen Autoren von Erpressungssoftware dem Zwischenhändler maßgeschneiderte On-Demand-Versionen von Schadsoftware bereitstellen. Die Autoren der Erpressungssoftware sammeln das Lösegeld ein und teilen es mit dem Zwischenhändler. Ein klassisches "Geschäftspartner”-Vertriebsmodell, das von anderen Seiten im Internet bekannt ist.

Dadurch bleiben die Autoren von Malware in ihrer Komfortzone der Programmierung von Software, während Zwischenhändler, die auf Spam, Malvertisement oder BlackHat SEO spezialisiert sind, eine neue Einkommensquelle erschaffen, die auf ihren existierenden Plattformen basieren. Im klassischen Geschäftspartner-Marketing bekommt der Besitzer des Produkts den größeren Anteil des Geldes. Im RaaS hingegen erhält der Autor der Erpressungssoftware einen kleinen Anteil der Spenden (5 – 25 Prozent), während der Rest an den Geschäftspartner geht. Der RaaS-Autor bekommt das Lösegeld des Opfers, indem er Bitcoins verwendet. Dem Distributor wird sein Anteil versprochen, wenn er seine anonyme Bitcoin-Adresse zur Anmeldung nutzt. Dieses Modell, das auf TOR und Bitcoins basiert, wurde entwickelt, um die Identitäten des Autors und des Zwischenhändlers vor Gesetzesvollzugs-Agenturen zu verbergen.

Im letzten Jahr wurden einige RaaS-Schadsoftwares gesichtet. RaaS Tox war der Vorreiter und wurde Mitte 2015 das erste Mal gesichtet. Nachdem die Daten von mindestens 1.000 Computern verschlüsselt wurden, entschied sich der Tox-Autor, aus dem Geschäft auszusteigen und versuchte seine Erfindung zu verkaufen. Tox erlaubte dem Zwischenhändler, einen Lösegeldsatz festzulegen und seine Bitcoin-Wallet-Adresse zu verwenden, um die Gewinne einzusammeln.

Encryptor RaaS ist eine weitere RaaS, die im Juli 2015 von jemandem namens Jeiphoos veröffentlicht wurde. Als dieser Blogeintrag verfasst wurde, war die TOR-Webseite noch erreichbar. Encryptor RaaS erlaubt es dem Zwischenhändler, viele Erpressungssoftware-Parameter zu konfigurieren, beispielsweise den Lösegeldpreis, die Zeitbeschränkung für die Bezahlung, den Wert des neuen Lösegelds, sobald die Zeitbeschränkung abgelaufen ist sowie die Anzahl der Dateien, die gratis entschlüsselt werden können (um dem Opfer zu beweisen, dass die Daten sicher, aber verschlüsselt sind).

Außerdem ermöglicht Encryptor RaaS dem Zwischenhändler, die Datei mit der Erpressungssoftware zu unterschreiben, indem er ein Zertifikat verwendet, das dem Opfer (beziehungsweise seinem Betriebssystem) vorgaukelt, das die Datenquelle vertrauenswürdig ist, während er viele Endpunkt-Schutzmechanismen komplett umgeht. Vergangene Berichte deuteten darauf hin, dass VeriSign das Zertifikat an eine chinesische Firma ausgestellt hatte. Momentan verwendet RaaS ein anderes Zertifikat, das von WoSign an eine verdächtige Firma (Mi You Network Technology Co., Ltd.) ausgestellt wurde. Sein Ursprungszertifikat wurde von StartCom unterschrieben.

Im November 2015 tauchte noch ein RaaS mit dem Namen Cryptolocker auf. Ein Cryptolocker-Autor gab sich selbst als "Fakben" zu erkennen und forderte eine Gebühr von 50 US-Dollar vom Zwischenhändler, um die grundlegende Erpressungssoftware zu bekommen. Dies erlaubte ihm, den Lösegeldpreis, seine Wallet-Adresse und ein Passwort festzulegen. Momentan ist die Cryptolocker RaaS TOR Webseite nicht erreichbar.

Ein viertes RaaS, das Anfang 2016 aufkam und nach wie vor aktiv ist, ist Ransom32. Ransom32 ist die erste Erpressungssoftware, die in JavaScript geschrieben ist, was es relativ einfach macht, sie an verschiedene Betriebssysteme anzupassen. Ransom32 ermöglicht es dem Distributor, eine Vielzahl an Anpassungen zusätzlich zu den vorgestellten Basisoptionen vorzunehmen.

Einige Beispiele sind:
>>
Die vollständige Sperrung des Computer des Opfers bei der Infektion
>> Verhinderung einer Entdeckung mithilfe des Gebrauchs von niedriger CPU-Leistung für die Verschlüsselung
>> Die Entscheidung darüber, ob die Lösegeldnachricht vor oder nach der Verschlüsselung angezeigt wird
>> Benutzung einer verdeckten Zeitbeschränkung, die dem Kunden ermöglicht, die Dateien nur zur verschlüsseln, wenn die Zeitbeschränkung abgelaufen ist

Die massive Verbreitung von Spam und die effektive Erstellung von Malvertisement-Kampagnen erfordern spezielle Fähigkeiten und Infrastrukturmanagement. RaaS reduziert die Anzahl an Fähigkeiten, hauptsächlich technische Fähigkeiten, die für das Betreiben einer erfolgreichen Erpressungssoftware-Kampagne notwendig sind.

Vergangenen Februar berichtete das Hollywood Presbyterian Medical Center, dass seine EMR-Systemaufzeichnungen verschlüsselt wurden und eine Lösegeldforderung einging. Das Krankenhaus bezahlte 17.000 Dollar in Bitcoins, um seine Daten freizugeben und das Tagesgeschäft wieder aufzunehmen. Die Abläufe des Krankenhauses wurden eine Woche lang erheblich beeinträchtigt und einige Patienten mussten verlegt werden. Die IT der Kommune Lincolnshire County war in der Lage, sich von einem solchen Angriff im Januar 2016 zu erholen, indem sie regelmäßige Backups durchführten. Tewksbury P.D., Massachusetts bezahlte im Jahr ein Lösegeld in Bitcoins, um Daten wieder freizuschalten, die von Erpressungssoftware verschlüsselt wurden.

RaaS und Insider: Ein tödliches Team
Vorsätzlich handelnde Mitarbeiter können ihre geheimen Informationen über unstrukturierte Daten von Unternehmen, ihr Wissen darüber, wo sich sensible Daten befinden und ihre Befugnisse ausnutzen, um die wertvollsten Daten zu verschlüsseln. Darüber hinaus wissen sie, wie viel den Unternehmen diese Daten Wert sind und können daraus für sich ableiten, wie viel Lösegeld sie für die Entschlüsselung der Daten verlangen können. Imperva weiß, dass vorsätzlich handelnde Mitarbeiter vor allem finanzielle Interessen haben, und die Nutzung von RaaS in Unternehmen einfach, sicher und profitabel ist. Zukünftige, anpassbare RaaS-Parameter könnten noch spezifischer sein und zudem geschäftsbezogene Informationen enthalten, beispielsweise welche Netzwerkfreigaben von Interesse sind sowie relevante Referenzen. Es ist denkbar, dass vorsätzlich handelnde Mitarbeiter RaaS verwenden könnten, um ihr Unternehmen zu erpressen. (Imperva: ra)

eingetragen: 29.04.16
Home & Newsletterlauf: 31.05.16


Imperva: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Cyber-Erpressung auf Bestellung

    CryptoLocker, GoldenEye, Locky, WannaCry - Ransomware hat mit der Geiselnahme von Dateien durch Verschlüsselung in den letzten Jahren eine beachtliche und unrühmliche Karriere hingelegt. Und da sich Kriminelle auch bei Digitalisierungstrends wie as-a-Service-Angeboten nicht lumpen lassen, hat die Untergrundökonomie mit Ransomware-as-a-Service (RaaS) rasch ein lukratives Geschäftsmodell für sich entdeckt, das in kürzester Zeit enormes Wachstum erlebt hat. Das Prinzip ist denkbar einfach - wie in der legalen Wirtschaft sind die Dienstleistungen ganz auf die Bedürfnisse einer möglichst breiten Kundschaft zugeschnitten: Auf Ransomware-as-a-Service-Plattformen können nun auch technisch wenig versierte Kriminelle ins Cyber-Erpressergeschäft einsteigen und sich von Schadware-Entwicklern die entsprechende Service-Leistung gegen Abgabe einer festen Gebühr oder einer Provision basierend auf den Lösegeldeinnahmen besorgen.

  • Investitionen in IT-Sicherheit legitimieren

    Wenn man so oft direkt mit unterschiedlichen Unternehmen und Menschen zu tun hat wie der Vertrieb, erkennt man schnell bestimmte Reaktionsschemata. Ebenso wie zuverlässig wiederkehrende Schwierigkeiten beim Implementieren von IT-Sicherheitsmaßnahmen. Den größten Teil unserer Zeit verbringen wir damit zu erläutern warum Cybersicherheit derart wichtig ist und wie ein Unternehmen von bestimmten Maßnahmen am besten profitiert. Trotzdem erhält man regelmäßig dieselben Antworten: "Ich verstehe absolut wovon Sie sprechen, und ich gebe Ihnen sogar Recht. Nur, wie soll ich die zusätzlichen Ausgaben gegenüber der Geschäftsleitung rechtfertigen?" Es gibt allerdings einige grundlegende Argumente die Kunden helfen, Sicherheitsansätze und Lösungen gegenüber der Geschäftsführung oder anderen Zeichnungsbefugten plausibel zu machen.

  • PKI ist im 21. Jahrhundert angekommen

    Um ein IoT-Ökosystem sicher aufzubauen und zu entwickeln, braucht man zwingend Tools und Architekturen, um IoT-Geräte zu identifizieren, zu kontrollieren und zu verwalten. Dieser Prozess beginnt mit dem Festlegen einer starken Identität für jedes IoT-Gerät. Der folgende Beitrag beschäftigt sich mit einigen der Möglichkeiten, wie man die Authentizität von IoT-Geräten verifizieren kann, bevor man sie integriert.

  • Tor-Browser, um IP-Adressen zu verschleiern

    Trotz ausgereifter Sicherheitstechnologien bleiben Anwender für Unternehmen eine empfindliche Schwachstelle, insbesondere deshalb, weil Cyberkriminelle ihre Social Engineering-Angriffe immer weiter verfeinern. Vor allem Phishing zählt zu den Angriffsvektoren, die Unternehmen gegenwärtig Kopfschmerzen bereiten. So werden E-Mails im Namen von Payment-Services, Shopanbietern oder E-Mailservice-Hosts von den kriminellen Hintermännern täuschend echt nachgeahmt, mit dem Ziel, durch das Abfischen von Logindaten weitere sensible, persönliche Daten zu erbeuten. Doch wie sehen die Konsequenzen aus, wenn Nutzerdaten von Mitarbeitern in die falschen Hände geraten und welche Auswirkungen hätte dies auf das Unternehmen? Das Forschungsteam von Bitglass hat versucht, mithilfe eines Experiments unter dem Namen "Cumulus" den Verbreitungswegen illegal erbeuteter Daten auf die Spur zu kommen.

  • PKI ist im 21. Jahrhundert angekommen

    Um ein IoT-Ökosystem sicher aufzubauen und zu entwickeln, braucht man zwingend Tools und Architekturen, um IoT-Geräte zu identifizieren, zu kontrollieren und zu verwalten. Dieser Prozess beginnt mit dem Festlegen einer starken Identität für jedes IoT-Gerät. Der folgende Beitrag beschäftigt sich mit einigen der Möglichkeiten, wie man die Authentizität von IoT-Geräten verifizieren kann, bevor man sie integriert. Die IoT-Entwicklung durchdringt mittlerweile alle Facetten unseres Lebens. Entsprechend rasant ist das Innovationstempo in diesem Bereich. Es existieren viele Anwendungen, die klug und ausgereift sind, aber leider auch solche, die das genaue Gegenteil davon sind. Dessen ungeachtet sind die weitaus meisten Anwendungen sehr wirkungsvoll etwa in der Landwirtschaft oder im Gesundheitswesen. Das IoT ist also nicht mehr weg zu denken. Trotzdem mutet die Entwicklung bisweilen so an, als versuche jemand zu rennen bevor er noch überhaupt laufen gelernt hat. Übersetzt heißt das, IoT-Entwickler vernachlässigen eine Kernkomponente unserer vernetzten Welt, die Sicherheit.