Locky, CTB-Locker & Co.

Einer der in Deutschland besonders aktiven Erpresserviren ist Locky. Von dieser Ransomware waren Ende Februar bereits über 60 Modifikationen bekannt. Locky gelangt über gefälschte Rechnungen im Mail-Anhang auf die Rechner. Außerdem sind laut Kaspersky auch seriöse Internetseiten bekannt, auf denen die Locky-Schadsoftware platziert wurde. „Die Kriminellen hinter Locky versuchen, aus der Erpressersoftware alles rauszuholen und größtmöglichen Profit zu erzielen. Locky ist kein ‚Kinderfasching‘, hier hat jemand viel kriminelle Energie investiert“, so Holger Suhl von Kaspersky.

In anderen Ländern ist Locky ebenfalls aktiv. So infizierte die Ransomware zum Beispiel die Krankenakten des Hollywood Presbyterian Medical Center in Los Angeles. Das Krankenhaus war von der Attacke lahmgelegt worden und musste umgerechnet rund 15.000 Euro Lösegeld bezahlen, um seine Gesundheitsakten zurückzubekommen. Bis das Lösegeld bezahlt und die Daten entschlüsselt waren, arbeitete man im Krankenhaus wieder mit der Technik aus dem letzten Jahrhundert: Patientendaten wurden auf Papier aufgenommen und Dokumente per Fax verschickt.

Das Besondere an Locky: Der Virus führt detaillierte Statistiken zu jedem einzelnen Opfer, was äußerst unüblich für eine Ransomware ist. Grund hierfür sind die finanziellen Interessen der Straftäter. Auf diese Weise lässt sich der Wert verschlüsselter Dateien nämlich genauer bestimmen, um die Lösegeldforderungen anzupassen und möglichst viel Profit zu machen.

Der Erpresservirus CTB-Locker zielt auf Webserver. Während es traditionelle Ransomware auf Nutzerdaten abge­sehen hat, greift CTB-Locker Webserver an, genauer gesagt den Webroot. Ohne dieses Verzeichnis funktioniert kein Webserver. Die Cyberkriminellen ersetzen die Startseite der Webpräsenz durch eine eigene Seite, auf der sie genau erklären, auf welchem Weg das Lösegeld zu zahlen ist. Über einen speziellen Code, der nur für die Opfer zugänglich ist, können diese sogar mit den Angreifern chatten.

Nach Analysen von Kaspersky hat CTB-Locker bis Mitte März bereits auf rund 70 Webservern zugeschlagen, hauptsächlich in den USA. Noch ist nicht klar, wie ein solcher Angriff vonstatten geht. Da die meisten betroffenen Webseiten auf das Content-Management-System Wordpress setzen, könnte eine Sicherheitslücke in Wordpress das Problem sein.