Ransomware-Forschung: Auch kleinere Kriminelle können Karriere machen

Im Erpressungsgeschäft haben kleinere Akteure nicht die gleichen Ressourcen wie die großen APT-Gruppen. Ungefährlich sind sie dennoch nicht – nur kreativer.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 4 Beiträge

(Bild: JARIRIYAWAT/Shutterstock.com)

Von
  • Ute Roos

Einzelne, unabhängig agierende Cyberkriminelle können häufig ungestörter und somit wesentlich effizienter ihren dubiosen Geschäften nachgehen als die großen bekannten Ransomware-Gruppen, denn die Aufmerksamkeit der Sicherheitsforscher richtet sich vorwiegend gegen Letztere. Wenn sie es richtig anstellen, können sie sich im Erpressungsgeschäft auch hocharbeiten. Zu diesen Ergebnissen kommt die jüngste Untersuchung von McAfees Advanced Threat Research (ATR) Team.

Da die kleineren Kriminellen allerdings keinen Zugang zu den neuesten Malware-Samples haben und ihnen häufig die finanziellen Mittel zum Nachrüsten fehlen, kommen sie als Partner im Ökosystem "Ransomware as a Service" nicht infrage. Wie also ergattern sie sich einen Teil des Kuchens? Nach Beobachtungen der McAfee-Forscher versuchen die kleineren Ransomware-Betreiber, nach den neuesten Malware- und Builder-Leaks Ausschau zu halten und sie für sich zu nutzen.

Der Babuk Builder wurde auf Twitter geleakt – und prompt benutzt.

(Bild: McAfee)

Die großen organisierten Banden hingegen reinvestieren mutmaßlich den Großteil des erpressten Geldes für den Aufbau und die Pflege offensiver Cybertools, die ihnen einen Vorsprung gegenüber der Konkurrenz im lukrativen Erpressungsgeschäft verschaffen sollen. Darauf deutet etwa die von McAfee beobachtete Suche eines Betreibers der Babuk-Ransomware nach einem speziellen 0-Day-Exploit für den Zugang zu einem Unternehmens-VPN hin.

Zurück zu den "Kleinen": Sie verwenden undichte Stellen, um an aktuelle Malware zu kommen - so geschehen bei den jüngsten Leaks der Babuk-Ransomware (Abbildung 1 und 2). Hier beobachtete das ATR-Team zwei Strategien. Die vermutlich technisch weniger versierten Kriminellen kopierten lediglich den Builder und fügten in der Lösegeldforderung ihre eigene statt der fremden Bitcoin-Adresse ein. Die zweite Gruppe baute aus dem Quellcode eigene Versionen von Babuk und ergänzte sie mit neuen Funktionen und Packern.

Technisch versierte Kriminelle können aus dem im Untergrund veröffentlichten Sourcecode ihre eigene Erpressungssoftware basteln.

(Bild: McAfee)

So können auch die Ransomware-Betreiber "am unteren Teil der Nahrungskette" noch von dem großen Geschäft mit der Datenerpressung profitieren, wenngleich sie nicht die riesigen Summen der organisierten Banden einstreichen. Die Forscher von McAfee stießen auf einen solchen Fall eines "schlecht bezahlten Ransomware-Akteurs" und untersuchten seine "Karriere": Begonnen hatte er mit einfacher kopierter Malware und Lösegeldforderungen über einige Hundert Dollar. Später erpresste er mit mindestens zwei "Builder Leaks" Beträge im Bereich von Tausenden von Dollar.

Mit ihren kleineren Gewinnen können also auch solche Akteure weitere Sprünge machen und sich hocharbeiten, konstatieren die Sicherheitsforscher. Die technischen Details zu den Babuk-Varianten sowie der Karriere ihres Betreibers beschreibt ein Blogbeitrag des MacAfee-ATR-Forschers Thibault Seret.

Mehr von iX Magazin Mehr von iX Magazin

(ur)