Sicherheitsspezialist Check Point hat in einem Bericht einige Hintergrundinfos zur Ransomware Cerber publiziert, die ich hier auszugsweise wiedergebe.
Anzeige
Seit März 2016 warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Cerber ist das größte aktive „Ransomware-as-a-Service"-Franchise-System der Welt und ein Beispiel für die rasante Entwicklung der Cyberkriminalität. Cerber demonstriert, wie gut kriminelle Gruppen mittlerweile organisiert sind.
Seit Januar 2016 im Fokus von Check Point
Seit Januar 2016 verfolgt das Threat Intelligence und Research Team von Check Point zusammen mit dem Partner IntSigh die Distributionsnetzwerke von Cerber und haben eine präzise Übersicht über die globale Verteilung erstellt. Durch die Beobachtung der Command & Control (C&C)-Server konnten die Forscher die Bezahlungen und Transaktionen der Opfer einsehen. Weiter zeigen sich so die Umsätze und der Kapitalfluss der Angreifer.
Das BSI hat im März 2016 besonders viele Infektionen mit Cerber festgestellt. Die Anzahl der Ransomware-Angriffe stieg allein vom Januar bis zum Mai 2016 um 70 Prozent. Das Bundeskriminalamt (BKA) sieht solche Kampagnen als gefährlich an und erkennt eine deutliche Zunahme der organisierten Banden im Cyberraum.
Check Point warnt vor Cerber, da das Bedrohungspotenzial des „jungen" Verschlüsselungstrojaners in vielen Bereichen von anderen Schädlingen unterscheidet:
Anzeige
- Die Anzahl der Infektionen ist wesentlich umfangreicher: Aktuell laufen 161 verschiedene Kampagnen mit Cerber und der Umsatzerwartung für 2016 liegen bei 2,3 Millionen US-Dollar. Jeden Tag werden im Durchschnitt acht neue Kampagnen gestartet. Allein im Juli 2016 gab es 100.000 Infektionen und die Einnahmen mit Cerber wurden für denselben Zeitraum auf 195.000 US-Dollar beziffert.
- Cerber erlaubt auch Laien ohne IT-Kenntnisse den Einsatz von Ransomware: Es stehen leicht verständliche Anleitung in über 12 Sprachen für die Nutzer zur Verfügung. Zusätzlich erlauben die bereitgestellten Interfaces eine einfache Steuerung der gebuchten Kampagne. Weiter gibt es eine Support-Hotline für Rückfragen.
- Die Hintermänner hinter Cerber sind gute Geldwäscher: Die Kriminellen setzen auf die Onlinewährung BitCoin und haben für jedes Opfer ein eigenes Konto erstellt. Nach Bezahlung des Lösegelds (in der Regel ein BitCoin, dies entspricht aktuell ungefähr 590 US-Dollar), erhält das Opfer einen Schlüssel für seine Dateien. Das Geld wird über einen Mittelsmann an den Empfänger überwiesen und wandert dabei durch viele tausende Konten – eine Nachverfolgung wird dadurch nahezu unmöglich gemacht. Am Ende ist das Geld beim Entwickler und der Partner bekommt eine Beteiligung.
"Der Bericht ermöglicht einen seltenen Einblick in die Gedankenwelt und Ziele der Ransomware-as-a-Service-Branche," sagt Nathan Shuchami, Head of Advanced Threat Prevention bei Check Point. „Kunden von Check Point sind gegen sämtliche Varianten von Cerber geschützt und wir hoffen, dass alle andere Sicherheitsanbieter und Schwachstellenforscher ebenfalls entsprechende Maßnahmen ergreifen."
Weitere Informationen und den Bericht „Cerber: Two Generations of a Ransomware Franchise Revealed" gibt es hier. Zusätzliches Hintergrunddetails zum Thema Verschlüsselung und wie man mit einer Cerber-Infektion umgehen kann gibt es hier.
Lukrativ für die "Entwickler"
Bei neowin.net hat man sich den 60 seitigen Bericht angesehen und einen Artikel verfasst. Täglich werden wohl so um die acht Cerber-Kampagnen gestartet. Im letzten Monat konnten 150.000 Opfer in 201 Ländern infiziert werden. Auch wenn die Opfer kein Lösegeld zahlen, scheint sich das Ganze für die "Entwickler" zu lohnen. Das es sich um ein "Franchising-System" auf Basis "Ransomware-as-a-Service" handelt, erhalten die Entwickler ja eine Vergütung von den Cyber-Kriminellen, die Cerber einsetzen. Führte dazu, dass die Cyber-Kriminellen im letzten Monat mindestens 195.000 US $ Einnahmen hatte, wovon 40 % (78.000 $) an die Autoren ging. Auf das Jahr hochgerechnet, können die Hintermänner in der Entwicklung mit einer Summe von 946.000 $ rechnen.
Entschlüsselungstools ausgehebelt
In diesem Artikel schreibt heise.de, dass die von Drittanbietern wie Proof Point oder Trend Micro angebotenen Entschlüsselungstools nun nicht mehr funktionieren. Die Entwickler haben also aufgerüstet.
Anzeige