Aktuelle Ransomware-Varianten zeigen, dass die dahinterstehende Szene weiterhin äußerst dynamisch agiert und neue Methoden ausprobiert. Diese sind aber mal mehr, mal weniger erfolgreich. Das zeigen zwei neue Malwares, die aktuell im Umlauf sind. So berichten die Sicherheitsforscher des Unternehmens
Invincea von einer Ransomware, bei der es sich um eine modifizierte Fassung eines schon länger bekannten Schädlings handelt. Das Besondere an dem Fall liegt darin, dass die Betreiber jetzt versuchen, auch dann Geld mit infizierten Systemen zu verdienen, wenn deren Nutzer nicht bereit sind, die Erpressungs-Summen zu zahlen.
Dafür wurden die gewohnten Schadroutinen, die vermeintlich wichtige Dateien verschlüsseln und den Anwender zu Zahlungen auffordern, um eine weitere Payload erweitert. Diese sorgt dafür, dass das befallene System im Hintergrund in ein Botnetz eingegliedert wird. Ist dies geschehen, wird der Rechner zusammen mit anderen als Ressource für DDoS-Angriffe vermietet.
Es handelt sich um den ersten bekannt gewordenen Fall dieser Art und es ist fraglich, wie erfolgreich ein solches Konzept ist. Denn die jeweiligen Systeme dürften in diesem Fall nur kurzzeitig als Zombie-PCs zur Verfügung stehen. Immerhin erfährt der Nutzer bei einer Ransomware-Infektion zwangsläufig sehr schnell, dass sein Computer ein Problem hat, und wird alles dafür tun, dieses aus der Welt zu schaffen. Die Sicherheitsforscher sehen in der "Bastard Cerber" getauften Malware daher auch eher eine Art Testlauf, mit der die Angreifer versuchen, Erfahrungen mit Multifunktion-Malware zu sammeln.
Niemand zahlt bei Fake-Ransomware
Eine zweite erwähnenswerte Ransomware zeigt hingegen, wie man komplett daran scheitern dürfte, tatsächlich Zahlungswillige Opfer zu finden. Hier handelt es sich um einen Schädling, der Webserver über veraltete Drupal-Installationen angreift, berichtet
SoftPedia. Dabei werden allerdings nicht einmal Dateien verschlüsselt, die sich als Druckmittel einsetzen ließen.
Statt dessen ändert der Schädling lediglich das Admin-Passwort und verlangt die Überweisung von 1,4 Bitcoin (rund 550 Euro), damit die neuen Zugangsdaten übermittelt werden. Bisher ist noch kein Fall bekannt geworden, in dem sich ein Seitenbetreiber darauf eingelassen hätte. Wer mit einer Ransomware tatsächlich Webserver angreifen will, muss schon mehr Aufwand investieren - immerhin liegen hier in der Regel aktuelle Backups vor und ein Admin-Zugang lässt sich notfalls auch manuell rekonstruieren, wenn man Zugang zum Server selbst hat.
Quelle
Linear-Darstellung
