Menü

Online-Erpresser verschlüsseln Datenbank und fordern 50.000 US-Dollar Lösegeld

Sicherheitsexperten habe eine perfide Erpressungsmasche entdeckt: Die Täter manipulieren Web-Dienste so, dass sie die von den Nutzern eingegebenen Daten verschlüsselt speichern.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 186 Beiträge
Von

Online-Erpresser arbeiten mit einer neuen Masche, um Betreiber von Webservern zu erpressen: Die Angreifer manipulieren die Server so, dass sie neu angelegte Datensätze – etwa, wenn sich ein Nutzer registriert – verschlüsseln. Beim Zugriff darauf werden die Daten transparent entschlüsselt, so dass der Angriff nicht sofort auffällt. Der dabei genutzte Krypto-Schlüssel liegt auf einem Server der Angreifer. Nach einigen Monaten entfernen sie ihn und rücken ihn nur nach der Zahlung eines Lösegelds wieder raus.

Die Schweizer Sicherheitsfirma High-Tech Bridge hat zwei Fälle der RansomWeb getauften Angriffsmasche untersucht. Bei dem ersten Opfer soll es sich um einen europäischen Finanzdienstleister handeln. Die Online-Erpresser bauten Krypto-Funktionen in eine Web-Anwendung des betroffenen Unternehmens ein und verschlüsselten zudem alle Daten, die bereits in der Datenbank gespeichert waren.

Die manipulierten Skripte luden den eingesetzten Krypto-Schlüssel via HTTPS von einem Server der Angreifer, wodurch er nicht im Klartext in Traffic-Mitschnitten aufgetaucht wäre. Dann warteten die Täter sechs Monate, ehe sie den Krypto-Schlüssel entfernten – während dieser Zeit hat die Web-Anwendung nur verschlüsselte Daten in der Datenbank gespeichert. Auch die Backups enthalten folglich lediglich verschlüsselte Datenbankeinträge.

Anschließend kontaktierten die Täter schließlich den Finanzdienstleister und forderten ein Lösegeld in Höhe von 50.000 US-Dollar, wie High-Tech Bridge der Online-Ausgabe der Forbes sagte. In einem weiteren Fall haben Online-Erpresser eine Installation der Forensoftware phpBB nach dem oben beschriebenen Muster manipuliert. Eine Übersicht der eingebauten Krypto-Funktionen findet man im Blog-Beitrag der Sicherheitsfirma. In diesem Fall meldeten sich die Täter schon nach zwei Monaten beim Betreiber. Sie verschafften sich offenbar mit gültigen FTP-Zugangsdaten Zugriff auf den Server.

(rei)