{"id":180625,"date":"2016-08-19T01:09:00","date_gmt":"2016-08-18T23:09:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=180625"},"modified":"2023-04-13T11:31:10","modified_gmt":"2023-04-13T09:31:10","slug":"check-point-untersucht-ransomware-cerber","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/08\/19\/check-point-untersucht-ransomware-cerber\/","title":{"rendered":"Check Point untersucht Ransomware Cerber"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Sicherheitsspezialist Check Point hat in einem Bericht einige Hintergrundinfos zur Ransomware Cerber publiziert, die ich hier auszugsweise wiedergebe.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/f8e201d07a2345d295b639f812623d13\" alt=\"\" width=\"1\" height=\"1\" \/>Seit M\u00e4rz 2016 warnt das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI). Cerber ist\u00a0 das gr\u00f6\u00dfte aktive \u201eRansomware-as-a-Service\"-Franchise-System der Welt und ein Beispiel f\u00fcr die rasante Entwicklung der Cyberkriminalit\u00e4t. Cerber demonstriert, wie gut kriminelle Gruppen mittlerweile organisiert sind.<\/p>\n<h3>Seit Januar 2016 im Fokus von Check Point<\/h3>\n<p>Seit Januar 2016 verfolgt das Threat Intelligence und Research Team von Check Point zusammen mit dem Partner IntSigh die Distributionsnetzwerke von Cerber und haben eine pr\u00e4zise \u00dcbersicht \u00fcber die globale Verteilung erstellt. Durch die Beobachtung der Command &amp; Control (C&amp;C)-Server konnten die Forscher die Bezahlungen und Transaktionen der Opfer einsehen. Weiter zeigen sich so die Ums\u00e4tze und der Kapitalfluss der Angreifer.<\/p>\n<p>Das <a href=\"https:\/\/web.archive.org\/web\/20201016074322\/https:\/\/www.bsi.bund.de\/DE\/Presse\/Kurzmeldungen\/Meldungen\/news_lagedossier_ransomware_0807.html\" target=\"_blank\" rel=\"noopener\">BSI hat im M\u00e4rz<\/a> 2016 besonders viele Infektionen mit Cerber festgestellt. Die Anzahl der Ransomware-Angriffe stieg allein vom Januar bis zum Mai 2016 um 70 Prozent. Das Bundeskriminalamt (BKA) sieht solche Kampagnen als gef\u00e4hrlich an und erkennt eine deutliche Zunahme der organisierten <a href=\"https:\/\/web.archive.org\/web\/20210303195235\/https:\/\/www.bka.de\/SharedDocs\/Downloads\/DE\/Publikationen\/JahresberichteUndLagebilder\/Cybercrime\/cybercrimeBundeslagebild2015.html\" target=\"_blank\" rel=\"noopener\">Banden im Cyberraum<\/a>.<\/p>\n<p>Check Point warnt vor Cerber, da das Bedrohungspotenzial des \u201ejungen\" Verschl\u00fcsselungstrojaners in vielen Bereichen von anderen Sch\u00e4dlingen unterscheidet:<\/p>\n<ul>\n<li><strong>Die Anzahl der Infektionen ist wesentlich umfangreicher:<\/strong> Aktuell laufen 161 verschiedene Kampagnen mit Cerber und der Umsatzerwartung f\u00fcr 2016 liegen bei 2,3 Millionen US-Dollar. Jeden Tag werden im Durchschnitt acht neue Kampagnen gestartet. Allein im Juli 2016 gab es 100.000 Infektionen und die Einnahmen mit Cerber wurden f\u00fcr denselben Zeitraum auf 195.000 US-Dollar beziffert.<\/li>\n<li><strong>Cerber erlaubt auch Laien ohne IT-Kenntnisse den Einsatz von Ransomware: <\/strong>Es stehen leicht verst\u00e4ndliche Anleitung in \u00fcber 12 Sprachen f\u00fcr die Nutzer zur Verf\u00fcgung. Zus\u00e4tzlich erlauben die bereitgestellten Interfaces eine einfache Steuerung der gebuchten Kampagne. Weiter gibt es eine Support-Hotline f\u00fcr R\u00fcckfragen.<\/li>\n<li><strong>Die Hinterm\u00e4nner hinter Cerber sind gute Geldw\u00e4scher:<\/strong> Die Kriminellen setzen auf die Onlinew\u00e4hrung BitCoin und haben f\u00fcr jedes Opfer ein eigenes Konto erstellt. Nach Bezahlung des L\u00f6segelds (in der Regel ein BitCoin, dies entspricht aktuell ungef\u00e4hr 590 US-Dollar), erh\u00e4lt das Opfer einen Schl\u00fcssel f\u00fcr seine Dateien. Das Geld wird \u00fcber einen Mittelsmann an den Empf\u00e4nger \u00fcberwiesen und wandert dabei durch viele tausende Konten \u2013 eine Nachverfolgung wird dadurch nahezu unm\u00f6glich gemacht. Am Ende ist das Geld beim Entwickler und der Partner bekommt eine Beteiligung.<\/li>\n<\/ul>\n<p>\"Der Bericht erm\u00f6glicht einen seltenen Einblick in die Gedankenwelt und Ziele der Ransomware-as-a-Service-Branche,\" sagt Nathan Shuchami, Head of Advanced Threat Prevention bei Check Point. \u201eKunden von Check Point sind gegen s\u00e4mtliche Varianten von Cerber gesch\u00fctzt und wir hoffen, dass alle andere Sicherheitsanbieter und Schwachstellenforscher ebenfalls entsprechende Ma\u00dfnahmen ergreifen.\"<\/p>\n<p>Weitere Informationen und den Bericht \u201eCerber: Two Generations of a Ransomware Franchise Revealed\" gibt es <a href=\"https:\/\/web.archive.org\/web\/20221003181944\/https:\/\/blog.checkpoint.com\/2016\/08\/16\/cerberring\/\" target=\"_blank\" rel=\"noopener\">hier<\/a>. Zus\u00e4tzliches Hintergrunddetails zum Thema Verschl\u00fcsselung und wie man mit einer Cerber-Infektion umgehen kann gibt es hier.<\/p>\n<h3>Lukrativ f\u00fcr die \"Entwickler\"<\/h3>\n<p>Bei neowin.net hat man sich den 60 seitigen Bericht angesehen und\u00a0<a href=\"http:\/\/www.neowin.net\/news\/cerber-ransomware-rakes-in-almost-1-million-per-year-even-if-victims-arent-paying\" target=\"_blank\" rel=\"noopener\">einen Artikel verfasst<\/a>. T\u00e4glich werden wohl so um die acht Cerber-Kampagnen gestartet. Im letzten Monat konnten 150.000 Opfer in 201 L\u00e4ndern infiziert werden. Auch wenn die Opfer kein L\u00f6segeld zahlen, scheint sich das Ganze f\u00fcr die \"Entwickler\" zu lohnen. Das es sich um ein \"Franchising-System\" auf Basis \"Ransomware-as-a-Service\" handelt, erhalten die Entwickler ja eine Verg\u00fctung von den Cyber-Kriminellen, die Cerber einsetzen.\u00a0F\u00fchrte dazu, dass die Cyber-Kriminellen im letzten Monat mindestens\u00a0195.000 US $ Einnahmen hatte, wovon 40 % (78.000 $) an die Autoren ging. Auf das Jahr hochgerechnet, k\u00f6nnen die Hinterm\u00e4nner in der Entwicklung mit einer Summe von 946.000 $ rechnen.<\/p>\n<h3>Entschl\u00fcsselungstools ausgehebelt<\/h3>\n<p>In <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/Erpressungs-Trojaner-Cerber-ruestet-sich-gegen-Entschluesselungs-Tools-3300589.html\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a>\u00a0schreibt heise.de, dass die von Drittanbietern wie Proof Point oder Trend Micro angebotenen Entschl\u00fcsselungstools nun nicht mehr funktionieren. Die Entwickler haben also aufger\u00fcstet.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sicherheitsspezialist Check Point hat in einem Bericht einige Hintergrundinfos zur Ransomware Cerber publiziert, die ich hier auszugsweise wiedergebe.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5271,4715,4328],"class_list":["post-180625","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-cerber","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/180625","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=180625"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/180625\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=180625"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=180625"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=180625"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}