Die nächste Ransomware-Welle rollt an

Verschlüsselungstrojaner sind derzeit der Renner unter Cyber-Kriminelle. Kein Wunder, ist das Konzept doch äußerst lukrativ. So infiziert und verschlüsselt laut Berichten der berühmteste unter den Erpresser-Viren Locky derzeit täglich gut 90.000 Systeme. Für die Entschlüsselung der Rechner verlangen die Cyber-Kriminelle jeweils 400 Dollar. Wenn da nur 25 Prozent der Opfer zahlen, verdienen die Locky-Urheber fast zehn Millionen Dollar, und zwar täglich.

Den Sicherheits-Experten von Varonis sind nun drei neue Ransomware-Kandidaten besonders aufgefallen, die derzeit verstärkt ihr Unwesen treiben. Es handelt sich dabei um Samas, Cerber und Surprise. Während Samas das gesamte Netzwerk von Unternehmen verschlüsselt, handelt es sich bei Cerber um Ransomware-as-a-Service, die unzählige Dateitypen verschlüsselt. Hier eine Zusammenstellung der wichtigsten Eigenschaften der neuen Ransomware-Varianten:

Ransomware Samas

Lösegeldforderung: Die Hacker sondieren derzeit den Markt und fordern zwischen 1 und 1,7 Bitcoins. Es wird auch eine "Flatrate" angeboten: Betroffene Organisationen können alle infizierten Systeme für 22 Bitcoins (etwa 9160 Dollar) entschlüsseln.
Verschlüsselungsalgorithmus: RSA-Verschlüsselung (2.048 Bit)
Infektionsweg: Beginnt mit einem Penetrationsangriff auf einen Server und sucht nach Netzwerken mit potenziellen Schwachstellen
Betroffene Dateitypen: Versucht, das gesamte Netzwerk von Organisationen zu verschlüsseln

Ransomware Cerber

Lösegeldforderung: 1,24 Bitcoins (etwa 500 Dollar)
Verschlüsselungsalgorithmus: AES-256-Verschlüsselung
Infektionsweg: Die Forscher sind bisher noch unsicher, auf welche Weise sich Cerber verbreitet. Sie wird jedoch als Ransomware-as-a-Service angeboten. Abonnenten können sie für Angriffe nutzen und die Entwickler von Cerber erhalten eine Provision bei jeder Lösegeldzahlung. Die Schadsoftware greift interessanter Weise keine Nutzer aus folgenden Ländern an: Aserbaidschan, Armenien, Georgien, Weißrussland, Kirgisistan, Kasachstan, Moldawien, Turkmenistan, Tadschikistan, Russland, Usbekistan und Ukraine. Nach einem erfolgreichen Angriff, erhalten Nutzer drei Dateien, die sie darüber in Kenntnis setzen (.txt, .html und .vbs). Diese Dateien konvertieren die Lösegeldforderung in eine Audionachricht. Wie in einem schlechten Film spricht eine monotone, roboterähnliche Stimme: "Attention. Attention. Attention. Your documents, photos, databases and other important files have been encrypted!" (Achtung. Achtung. Achtung. Ihre Dokumente, Fotos, Datenbanken und anderen wichtigen Dateien wurden verschlüsselt!)

Ransomware Surprise

Lösegeldforderung: Zwischen 0,5 und 25 Bitcoins. Bei Unternehmensnetzwerken mit vielen Rechnern wird deutlich mehr Lösegeld gefordert als bei einzelnen PCs.
Verschlüsselungsalgorithmus: Eine Mischung aus RSA-2048 und AES-256