3 überraschende Dinge, die Sie noch nicht über Ransomware wussten

In einem neuen Experiment haben wir mit Ransomware-Erpressern über niedrigere Lösegelder und längere Deadlines verhandelt. Verschaffen Sie sich einen Einblick in Ransomware mit unserem neuen Report.

Verfasser: F-Secure Business Security Insider
Datum: 28. Juli 2016
Lesedauer: 3 Minuten

Verschlüsselnde Ransomware war in jüngster Vergangenheit die Geißel von Unternehmen, indem sie Dateien durch Verschlüsselung gleichsam als Geisel nahm und für die Entschlüsselung ein Lösegeld verlangte. Und ironischerweise ist Ransomware selbst eine Art Geschäftsmodell, allerdings ein untergründiges und rechtswidriges. Dieses Geschäftsmodell beruht paradoxerweise auf dem Vertrauen der Opfer: wenn diese nicht glauben, dass sie ihre Dateien zurückbekommen, werden sie gar nicht erst bezahlen.

Um dieses Vertrauen herzustellen, haben viele Ransomware-Familien ein Feature entwickelt, das dem ähnelt, was rechtmäßige Unternehmen einen „Customer Journey“ nennen würden – die Routine, die die Opfer oder „Kunden“ von der anfänglichen Infektion mit Ransomware hin zum bezahlenden Kunden am Ende „umwandelt“.

Wir dachten, dass das ein sehr interessantes Szenario ist – gemeine Kriminelle mit Fokus auf den Kunden. Also haben wir ein Experiment durchgeführt, um herauszufinden, wie diese Ransomware-Familien ihren Customer Journey durchführen. (Alle Details und Ergebnisse sind in unserem neuen Report „Untersuchung der Customer Journey von Krypto-Ransomware“ verfügbar).

Wir haben einen nicht-technischen Mitarbeiter sich mit fünf verschiedenen Familien von Krypto-Ransomware infizieren lassen, von denen alle eine Art Support Channel haben, welcher die Möglichkeit zur Interaktion mit den Kriminellen bot. Wir haben eine falsche Identität erstellt, nämlich „Christine Walters“, eine Mutter Mitte 40 mit minimalen Technik-Kenntnissen und Hotmail-Adresse. Wir haben unsere „Christine“ jede dieser Familie auf Grundlage ihrer Erfahrung von der ersten Erpressungsnachricht bis zur Kommunikation mit den Ganoven untersuchen lassen.

we evaluated five crypto-ransomware families

Unsere Ergebnisse sind sehr interessant. Hier sind drei davon:

1. Lösegelder können verhandelt werden

Wir fanden heraus, dass Kriminelle üblicherweise bereit sind, den Preis zu verhandeln. Drei von vier Varianten, die wir kontaktiert haben (die fünfte, TorrentLocker antwortete uns überhaupt nicht) waren bereit, einen Rabatt von durchschnittlich 29% der Lösegeldsumme zu verhandeln. Hier ist eine Übersicht:

Ransomware discounts

Nicht schlecht. Cryptomix hatten mit 3 Bitcoin die höchste Anfangsforderung, was ungefähr 1900 Dollar entspricht – und sie gaben uns auch mit 67% den größten Nachlass. Wie haben wir das geschafft? Hier ist ein Screenshot einer von „Christines“ Verhandlungen:

Negotiating with ransomware criminal

Mit noch ein bisschen mehr Feilschen konnten wir sie auf lediglich einen einzelnen Bitcoin runterhandeln, das entspricht ungefähr 635 Dollar.

Die Quintessenz: diese Leute würden lieber nur ein bisschen Geld machen als gar keins. Cerber war die einzige Familie, die beim Preis nicht entgegenkommen wollten. Sie waren ebenfalls die Familie mit dem professionellsten User Interface, was uns zu unserem nächsten Befund führt.

2. Die Familien mit den professionellsten User Interfaces haben nicht unbedingt den besten Kundenservice.

Wie gesagt hatte Cerber das einwandfreieste, professionellste und hilfreichste Interface (mit Support in zwölf Sprachen!), aber ihr Kundenservice-Agent war – obwohl er antwortete – nicht so hilfreich. Sie haben nicht über den Preis verhandelt und haben nicht untersützt, als wir nach Hilfe bei der Bitcoin-Bezahlung fragten. Sie haben uns trotzdem mehr Zeit gegeben, um die Bezahlung durchzuführen. Hier ist eine Übersicht eines Teils unserer Unterhaltung, für die wir ihr bequemes Online Support-Formular genutzt haben.

negotiation with Cerber ransomware

3. Ransomware Deadlines sind nicht unbedingt in Stein gemeißelt.

Obwohl sie dreiste Deadlines festlegen, setzen Ransomware-Kriminelle diese unserer Erfahrung nach nicht zwingend streng durch. Alle der von uns kontaktierten Gruppen gewährten uns Verlängerungen. „Christine“ hatte ein volles Wochenende geplant, also fragte sie nach mehr Zeit, die ihr dann auch gewährt wurde. Und sogar eine Woche nachdem wir unser Experiment abgeschlossen hatten (ohne irgendeins der Lösegelder zu bezahlen), wurden wir von einem der Agenten gefragt, ob wir immer noch unsere Dateien haben wollten.

In unserem ganzen Report finden Sie noch mehr Ergebnisse, volle Details plus unserer gesamten Unterhaltung mit einem der Ransomware-„Agenten“. War Ihnen außerdem bewusst, dass man keine großen Technikkenntnisse benötigt, um ein Ransomware-Ganove zu sein? Werfen Sie dafür einen Blick auf unsere Infografik mit den „5 Gewohnheiten erfolgreicher Ransomware Cyberkrimineller„.

Und zum Schluss: Sie wollen sicherlich niemals in der Position sein, in der Sie um den Preis für Ihre Daten feilschen müssen. Wie Sie Ihr Unternehmen gegen Ransomware schützen können, erfahren Sie in unserem Quick Quide zum Austricksen von Ransomware.


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s