Woche 32

Was Sicherheitsexperten derzeit den Schlaf raubt

Uhr
von Coen Kaat und null

Nigerianischer Prinz infiziert sich selbst, Eset trifft auf alten Bekannten und Herr-der-Ringe-Bösewicht schnüffelt Regierungen aus. Die Redaktion hat die Neuigkeiten zu Cybercrime der Woche zusammengefasst.

(Quelle: Pixabay/DasWortgewand/CC0 Public Domain)
(Quelle: Pixabay/DasWortgewand/CC0 Public Domain)

Nicht nur im Auto, auch in der Ransomware kann man den Schlüssel stecken lassen. Ebendies haben die Sicherheitsexperten von Symantec in den USA entdeckt. Das Unternehmen spürte eine neue Variante von Erpresser-Software auf, wie Symantec mitteilt. Wenn die Malware den Rechner sperrt, versucht sie dem Nutzer vorzugaukeln, seine Windows-Lizenz sei abgelaufen. Um eine neue zu erhalten, solle der Nutzer doch die angegebene kostenfreie Hotline-Nummer anrufen.

Obwohl die Ransomware primär in den USA operiert, verwendeten die Autoren die britische beziehungsweise kanadische Schreibweise — also etwa "Licence" statt "License". Die Sicherheitsexperten wurden neugierig und riefen die Nummer an. Am anderen Ende der Leitung war man aber wohl überfordert. Nach eigenen Angaben warteten Symantec-Mitarbeiter 90 Minuten in der Warteschleife und horchten Musik. Alle paar Minuten hörten sie eine Stimme, die sich für den Anruf bedankte und versicherte, dass sie bald verbunden würden. Das geschah dann aber nie.

Also suchte Symantec die Lösung anderswo. Eine kurze Google-Recherche nach der Telefonnummer spuckte sogleich viele Resultate aus. Auf jeder gefundenen Seite waren Tipps zu lesen, wie die Malware zu entfernen sei. Scheinbar waren die Autoren sehr auf SEO, also Suchmaschinenoptimierung, bedacht. Denn die Suchergebnisse sind Phase zwei des Angriffs. Sie alle raten den Betroffenen, ein bestimmtes Tool herunterzuladen.

Ein genauerer Blick auf die Malware sorgte bei Symantec jedoch für eine Überraschung. Sie mussten gar nicht nach dem Entschlüsselungscode suchen. Denn dieser steckte unverborgen im Quelltext der Ransomware.

Wenn Scammer sich selbst scammen

Der berüchtigte nigerianische Prinz, der schon lange im Internet sein Unwesen treibt, ist Opfer seiner selbst geworden. Entdeckt hat dies Secureworks, wie The Register berichtet. Die Sicherheitsexperten der Firma waren auf der Jagd nach Command-and-Control-Server.

Dabei stiessen sie auf einen Keylogger. Dieser führte direkt in den Server einer cyberkriminellen Bande, welche die erwähnte Masche mit dem nigerianischen Prinzen verwendet. So hatten die Sicherheitsexperten einen direkten Draht in die Maschine des Anführers.

Über Monate hinweg konnten sie alle Aktivitäten mitverfolgen — alle Instant Messages, jedes verwendete Tool sowie alle Opfer und Geldüberweisungen. Zudem identifizierten sie alle 30 Mitglieder der Bande.

Die Konsequenz der Inkompetenz: Das FBI hat die gesamte Bande verhaftet.

Es muss nicht immer Ransomware sein

Der europäische Sicherheitsexperte Eset hat einen alten Bekannten wiedergetroffen: Nemucod. Der Trojaner versteckt sich hinter dem Namen Win32/Kovter und änderte in seiner Abwesenheit sein Vorgehen, wie Eset mitteilt.

Statt Ransomware installiert Nemucod nun Backdoor-Malware auf dem Rechner. Hierbei handelt es sich um einen kriminellen Multitasker. Das Schadprogramm führt bis zu 30 Aufgaben zugleich aus. Um unentdeckt zu bleiben, richtet sie sich aber nach dem freien RAM-Speicherplatz und der CPU-Auslastung.

In ihrer aktuellen Version verfügt die Malware über einen internen Browser. Dieser ruft Webseiten auf klickt darin auf Werbung. Alles, ohne dass der Nutzer etwas davon mitbekommt. Auf den Rechner kommt Nemucod auf die klassische Manier: als Anhang einer E-Mail.

Zuletzt fiel Nemucod den Sicherheitsexperten im Frühjahr 2016 auf. Damals hatte sich die Malware darauf spezialisiert, Ransomware wie Locky oder Teslacrypt zu installieren.

Und wer überwacht die Überwacher?

Kaspersky Lab hat derweil eine beunruhigende Entdeckung gemacht. Im September des vergangenen Jahres fiel den Sicherheitsexperten des Unternehmens ein ungewöhnliches Verhalten innerhalb eines Kundennetzwerks auf. Wenig später stiessen sie auf diesem Weg auf die Spionageplattform Projectsauron, wie Kaspersky mitteilt.

Die Plattform wurde benannt nach dem Antagonisten aus der Buch- und Filmreihe "The Lord of the Rings". Der fiktive Bösewicht wird darin als körperloses Auge dargestellt, das die Welt ausspioniert auf der Suche nach dem einen Ring der Macht.

Der Name passt perfekt zu der hochkomplexen Software. Die Spionagesoftware sucht nach seltener und massgeschneiderter Software zur Netzwerkverschlüsselung. Das heisst, sie interessiert sich für verdeckte Kommunikationen.

Die Plattform ist auf langfristige und heimliche Kampagnen ausgelegt. So verwenden die Backdoor-Programme teilweise auch legitime Softwareupdates, um ihren Traffic zu tarnen. Zudem erfolgt jeder Angriff mit einem einzigartigen, auf das jeweilige Opfer abgestimmte Toolset und Infrastruktur. Diese werden immer nur einmal verwendet und nachher nie wieder, wie Kaspersky schreibt.

Bisher identifizierte das Unternehmen mehr als 30 Opferorganisationen – Kaspersky vermutet aber, dass viele weitere betroffen sind. Bei den Opfern handelt es sich um Regierungsinstitutionen, militärische und wissenschaftliche Forschungszentren, Telkos und Finanzorganisationen.

Hinter der Plattform müssen gemäss Kaspersky Profis am Werk sein. Die Sicherheitsexperten gehen davon aus, dass ein Nationalstaat hier seine Finger im Spiel hat. Laut Mitteilung ist Projectsauron bereits seit 2011 aktiv. Wie die Plattform seine Opfer infiziert, konnte Kaspersky jedoch nicht herausfinden.

Webcode
DPF8_795