Hacker erbeuten dank Ransomware „Ryuk“ Millionen

Keine Kommentare
 

Verschlüsselungstrojaner, die Daten auf den Rechnern der Opfer verschlüsseln, werden als Ransomware bezeichnet. Diese Bezeichnung weist darauf hin, dass der Angriff zum Ziel hat, Lösegeld für die Entschlüsselung der Daten zu verlangen.


Vorhängeschloss vor einem Hintergrund aus Programmiersprache

Die Ransomware „Ryuk“ erbeutete Millionen dank einer geschickten Vorgehensweise. (typographyimages / pixabay.com)

Anders als bei Erpressungsversuchen sonst üblich, erfolgt die Auswahl der Opfer eher zufällig – erpresst werden diejenigen, auf deren Rechner der Schädling bei seiner massenhaften Verbreitung mehr oder weniger zufällig gelangt ist. Der Verschlüsselungstrojaner Ryuk folgt einer anderen Strategie. Er greift gezielt dort an, wo es für die Erpresser etwas zu holen gibt.

Malware mit Kundschafter

Wenn Hacker ihre Ransomware massenhaft über das Internet verteilen, funktioniert diese Angriffsmethode nur wenige Tage lang effektiv. Danach wird der Schädling von allen Virenscannern erkannt und sein Verbreitungsweg ist allgemein bekannt. Natürlich fallen auch danach noch unvorsichtige Nutzer dem Schädling zum Opfer, aber keine größeren Unternehmen mehr. Ryuk geht sehr viel geschickter vor und schickt einen Kundschafter voraus, der gezielt lohnende Angriffsziele auswählt.

Die drei Stufen des Ryuk Angriffs

Stufe 1: Emotet

Im ersten Schritt wird ein Trojaner namens „Emotet“ auf einen Zielrechner geschleust. Wie in vielen anderen Fällen besteht auch seine Funktion nur darin, später andere Programme nachzuladen, die den eigentlichen Angriff durchführen. An dieser Stelle ist der Angriff am einfachsten abzuwehren. Emotet tarnt sich als Makro eines Microsoft-Word-Dokuments. Sofern die Ausführung von Makros auf dem Rechner nicht zugelassen ist, scheitert der Angriff an dieser Stelle. Vorausgesetzt natürlich, der User kommt der Aufforderung nicht nach, die Ausführung des Makros ausdrücklich zu gestatten. Nicht betroffen sind Nutzer, die andere Textverarbeitungen wie zum Beispiel das kostenlose Libre Office nutzen.

Schritt 2: Trickbot

Ist Emotet auf einen Rechner gelangt, lädt er einen weiteren Trojaner namens „Trickbot“ nach. Trickbot ist der oben erwähnte Kundschafter. Er kann Ryuk nachladen, tut dies aber längst nicht immer. Trickbot untersucht zunächst, ob der Rechner Teil eines größeren Netzwerks ist. Anschließend sucht Trickbot im Netz nach Kontaktdaten, um sich über Phishing-Mails selbst weiter zu verbreiten. Zusätzlich liest Trickbot noch Kontoauszüge und andere Dateien aus. Anhand dieser Daten wird die Höhe des später geforderten Lösegelds dem jeweiligen Opfer angepasst.

Schritt 3: Ryuk erpresst hohe Summen

Der Verschlüsselungstrojaner Ryuk wird nur in sehr wenigen Fällen von Trickbot nachgeladen. Ziel der Hacker sind ausschließlich Unternehmen, die größere Summen als Lösegeld zahlen können. Seit August 2018 sind Lösegeldzahlungen von nur 22 Bitcoin-Konten festgestellt worden, insgesamt 705 Bitcoin. Das entspricht nach gegenwärtigem Kurs rund 2,25 Millionen Euro. Angesichts des massiven Kurssturzes des Bitcoin seit dem letzten Sommer war die ursprünglich gezahlte Summe aber nochmals deutlich höher.

Gegen Emotet hilft laut BSI nur eine Neuinstallation

Der Trick bei dem Angriff besteht also darin, dass nur der Trojaner Emotet durch einen ungezielten breiten Angriff im Internet massenhaft verteilt wird. Emotet selbst richtet aber zunächst keine Schäden an, sondern öffnet nur ein Tor für die wirklich schädliche Malware. Dabei bleibt Emotet oft monatelang inaktiv. Deswegen blieb der Angriff in vielen Fällen unbemerkt. Die von Emotet im Hintergrund geschaffenen Sicherheitslücken sind nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) nicht reparabel und erfordern eine vollständige Neuinstallation des Systems.

Emotet ist auch für private User gefährlich

Wie viele andere Trojaner ist auch Emotet ein multifunktionales Werkzeug, das es den Hackern erlaubt, beliebige Schadsoftware auf befallenen Rechnern zu installieren. Als privater Nutzer werden Sie vermutlich nicht Opfer von Ryuk werden, müssen aber zum Beispiel damit rechnen, dass Ihre Zugangsdaten zum Online-Banking ausgespäht werden. Hinzu kommt, dass Sie selbst unbemerkt zum Verbeiter von Phishing-Mails werden können. Deswegen gilt im Fall einer Infektion auf für private Nutzer: Rechner neu installieren und alle Mail-Kontakte warnen!

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen