Malware und Cyber-Kriminalität als Dienstleistung

Rasanter Anstieg von Franchise-Modellen bei so genannter Ransomware

Verfasser: Philipp Rogmann
Datum: 25. Juni 2015
Lesedauer: 3 Minuten

Seit 2004 wurde kaum Malware entwickelt, die auf die reine Zerstörung von Daten zielt. Der Grund ist einfach: Verlorene Daten sind finanziell für Entwickler von Schadsoftware nicht mehr attraktiv. Es geht heutzutage darum, per Malware Daten zu stehlen, die sich auf dem Schwarzmarkt weiterverkaufen lassen und darum, mit so genannter Ransomware (aus dem Englischen von „Lösegeld“, Schadprogramme, die Daten verschlüsseln) Nutzer zu erpressen. Ransomware ist eine Form von Malware/Schadsoftware, die die Daten des befallenen Rechners verschlüsselt und sie erst nach der Zahlung einer gewissen Summe wieder freigibt – wenn überhaupt.

Dieser Entwicklung liegt pure Gewinnoptimierung zu Grunde, die Angreifer würden jeden und alles angreifen, wenn denn der finanzielle Anreiz stimmt. Und heutzutage muss ein potenzieller Angreifer nicht einmal mehr selbst Programmiererfahrung haben oder sich mit Sicherheitstechnik auskennen. Es reicht der Kauf eines Exploit Kits und Franchise-Ransomware. Berühmtheit hat dort der CBT Locker erlangt, der im großen Stil an Franchisenehmer verkauft wird.

cbt locker screenshot

CBT Locker und andere Ransomware:
Eine Gefahr für Unternehmen

Wir haben bereits mehrfach darauf hingewiesen, dass jedes Unternehmen etwas zu verlieren hat – egal, wie groß das Unternehmen ist. Und besonders so genannte Ransomware ist ein Problem für Unternehmen, die sich nicht schützen können, weil der Geschäftsfluss merklich gestört wird, sobald Informationen nicht mehr verfügbar sind. Im Gegensatz zu den ersten Lockern, die leicht entfernt werden konnten, ist diese neue Generation von Ransomware nicht so einfach auszutricksen. Die Daten werden mit einem Algorithmus verschlüsselt und können nicht simpel wieder hergestellt werden. Das heißt, eine Infektion ist unter allen Umständen zu vermeiden.

Das Geschäft mit Malware:
Lukrativ und am Rande der Legalität

Durch das Verkaufen der Grund-Tools von Malware brechen die meist aus Russland kommenden Entwickler von Schadsoftware keine Gesetze in ihrem Heimatland. Sie stellen lediglich eine Softwareplattform zur Verfügung, begehen die Infektion und die Erpressung nicht selbst. Das ist lukrativ und größtenteils sicher für die Programmierer. Und die Franchise-Nehmer verdienen durchaus viel Geld durch das Erpressen von Nutzern. Auf der Diskussionsplattform Reddit stellte sich ein solcher Nutzer der Services den Fragen der Community und gab an, in kürzester Zeit über 300.000 Euro verdient zu haben. Erreicht wurde dies dadurch, dass die Lösegeldforderungen niedrig sind und im Verhältnis zum Wert der Daten irrelevant sind. Erpresste Nutzer bezahlten eher, als die Daten abzuschreiben.

Im so genannten Deep Web, das jenseits des von normalen Usern genutzten World Wide Web existiert, kann jeder Cyber-Kriminelle Exploit Kits und Malware für die digitale Crypto-Währung Bitcoin kaufen. Somit hat er alle Möglichkeiten für eigene Erpressung – ohne dass eine Verfolgung wirklich möglich ist. Das Geschäft ist somit sehr lukrativ und für die Kriminellen fast komplett ohne Risiko.

Der Kampf wird vor der Infektion gewonnen

Um nicht von Ransomware erpressbar zu sein, ist ein engmaschiger Schutz des eigenen Netzwerks und der Endpunkte jeder Art notwendig. Wie oben beschrieben, ist eine Bereinigung des Problems nach Infektion schwierig bis unmöglich, weil die Daten schlicht nicht mehr in unverschlüsselter Form vorliegen.

Das heißt für Unternehmen, dass die eigene Sicherheitssoftware immer auf dem neuesten Stand sein muss. Automatisches Patch-Management leistet hier die beste Vorkehrung gegen Malware und andere schädliche Software. Ebenso sollte der Zugriff auf verdächtige Websites aus dem Firmennetzwerk nicht möglich sein. Begrenzen Sie also den Internetverkehr (was auch noch andere Vorteile bietet, wie wir in einem anderen Artikel bereits beschrieben haben).

Bleiben Sie immer up to date und sorgen Sie dafür, dass ungefilterte Daten nicht in Ihr Netzwerk eindringen können. Wenn CBT Locker oder andere Malware und Schadprogramme auf den Bildschirmen von Mitarbeitern auftauchen, ist es im Normalfall zu spät.


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s