Der Prinz sucht Ransomware-Schmuggler

Der Prinz sucht Ransomware-Schmuggler

Beitrag teilen

In einer aktuellen Kampagne suchen Cyberkriminelle potenzielle Komplizen, die bereit sind, für einen Teil des Lösegelds eine Ransomware in ihr Unternehmen zu schmuggeln. Die Spur führt nach Afrika zum berühmt-berüchtigten „Nigerianischen Prinzen“.

Es gibt wohl nur wenige Menschen, die noch nie eine Nachricht von einem nigerianischen Prinzen in ihrem Spamordner gefunden haben, der dringend eine gewaltige Geldsumme in Sicherheit bringen muss und dafür Hilfe braucht. Wahlweise kann es sich auch um einen Stammesfürsten oder einen Unternehmer handeln. Diese Betrugsmasche ist bereits seit Jahrzehnten im Umlauf und dürfte den meisten Angeschriebenen nur noch ein müdes Lächeln entlocken.

Von der Spam-Masche zur Ransomware

Das könnte auch der Grund sein, warum die Absender sich jetzt nach einem neuen Betätigungsfeld umsehen. Einem aktuellen Bericht der Sicherheitsforscher von Abnormal Security zufolge scheinen sie dieses mit Ransomware gefunden zu haben. Das ist an und für sich nicht weiter verwunderlich, schließlich lockt Ransomware mit großen Gewinnen und lässt sich für wenig Geld im Darknet mieten. Das Vorgehen der Kriminellen ist in diesem Fall jedoch eher ungewöhnlich und dürfte wohl kaum von einem kriminellen Mastermind erdacht worden sein, um es einmal vorsichtig auszudrücken.

Mitarbeiter sollen Ransomware einschmuggeln

Anstatt Angestellte mit ausgefeiltem Social Engineering dazu zu bringen, eine Datei zu öffnen, die dann wiederum die Ransomware installiert, schreiben die Angreifer potenzielle Opfer über LinkedIn oder andere öffentlich zugängliche Kontaktmöglichkeiten an und fragen höflich nach, ob sie nicht Interesse daran hätten, die Ransomware DemonWare auf den Systemen ihres Arbeitgebers zu installieren. Im Gegenzug wird dafür ein Prozentsatz des Lösegeldes versprochen. Im von Abnormal Security beschriebenen Fall boten die Kriminellen eine Million Dollar und damit 40 Prozent der anvisierten 2,5 Millionen Dollar. Bei Interesse solle man sich per E-Mail oder Telegram melden.

Belohnung für Komplizenschaft

Genau das taten die Sicherheitsforscher und fanden schnell heraus, dass man es nicht unbedingt mit Ransomware-Profis zu tun hatte. So wurde das erwartete Lösegeld schnell auf 120.000 Dollar gesenkt und damit auch die Summe, die der potenzielle Komplize erhalten sollte. Auch wurde behauptet, dass für den Komplizen kein Risiko bestehe, erwischt zu werden, denn die Ransomware würde alle Spuren inklusive Überwachungskameras verschlüsseln. Die Sicherheitsforscher spielten trotzdem weiter mit und erhielten schließlich eine funktionierende Version der Ransomware DemonWare, angeblich eine Eigenentwicklung der Angreifer. Diese Behauptung ist jedoch ganz offensichtlich falsch, denn DemonWare steht auf dem Portal GitHub ganz einfach zum Download zur Verfügung.

Sicherheitsforscher machen getarnt mit und bekommen Ransomware

Nun wollten die Sicherheitsforscher natürlich herausfinden, wer hinter dieser etwas dilettantischen Masche steckt und verfolgten die angegebenen Kontaktdaten zurück. Diese führten schließlich zu einer Trading-Webseite, auf der die nigerianische Währung Naira gehandelt wird, sowie zu einer russischen Social-Media-Plattform. Mit diesen Informationen fragten die Sicherheitsforscher beim Angreifer nach, ob er aus Nigeria stamme, was dieser unumwunden zugab. Laut Abnormal Security erklärt das auch die Vorgehensweise der Cyberkriminellen. Sie würden die grundlegenden Taktiken, die sie seit Jahren in ihren Spam-Kampagnen anwenden, nun auf das Gebiet der Ransomware übertragen, um am Boom dieser Malware teilzuhaben, auch wenn die Erfolgsaussichten dieser Kampagne wohl eher mäßig sind.

Auch Dilettanten erhöhen weiter das Risikio

Trotzdem sollte diese Vorgehensweise auch Unternehmen zu denken geben, denn es kommt immer wieder vor, dass Ransomware-Gangs Hilfe von Insidern haben. Ein weiteres Beispiel sind Verbreiter der LockBit-Ransomware, die immer wieder nach Komplizen sucht, um sich Zugang zu Unternehmensnetzwerken zu verschaffen. Schutz vor solchen Insider-Angriffen, aber auch vor ganz „normalen“ Ransomware-Attacken bieten beispielsweise eingeschränkte Nutzerprofile ohne Admin-Rechte für alle Mitarbeiter. Regelmäßige Security-Updates, eine aktuelle Antiviren-Software sowie ein bewährtes Back-up-Konzept sollten ohnehin selbstverständlich sein.

Mehr bei 8com.de

 


Über 8com

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.


 

Passende Artikel zum Thema

Ransomware-Gruppe 8base bedroht KMUs

8base ist eine der aktivsten Ransomware-Gruppen. Sie fokussierte sich in diesem Sommer auf kleine und mittlere Unternehmen. Durch niedrige Sicherheitsbudgets ➡ Weiterlesen

EU-NIS2-Direktive: Wie bereiten sich Unternehmen am besten vor?

Von der Neuauflage der EU-NIS2-Direktive sind viele Unternehmen betroffen. Mit ihr erhöhen sich die Mindestanforderungen an die Cybersicherheit kritischer Infrastrukturen. ➡ Weiterlesen

ALPHV: Casinos und Hotels in Las Vegas per Hack lahmgelegt

MGM Resorts, ein US-amerikanischer Betreiber von Hotels und Spielcasinos, wurde vor kurzem von einem Ransomware-Angriff heimgesucht, der mehrere Systeme an ➡ Weiterlesen

EU-NATO-Papier: KRITIS vor Cyberangriffen schützen

EU-NATO-Taskforce über die Resilienz der Kritischen Infrastruktur (KRITIS) in Europa erklärt Energie, Verkehr, digitale Infrastruktur und Weltraum als besonders schützenswerte ➡ Weiterlesen

Cyber-Risiko: Ladestationen für Elektrofahrzeuge

Ladestationen und Anwendungen für Elektrofahrzeuge sind oft nur unzureichend gegenüber Sicherheitsrisiken geschützt. Erfolgreiche Cyberangriffe auf solche Anwendungen ermöglichen Aktionen von ➡ Weiterlesen

Report: Weltweiter Anstieg der Cyber-Angriffe

Stärkster Anstieg von Cyber-Angriffen in den letzten zwei Jahren. Lockbit3 ist der Spitzenreiter unter den Ransomwares in der ersten Jahreshälfte ➡ Weiterlesen

Datenwiederherstellung gegen Ransomware

Ransomware, die es auf Privatpersonen, Unternehmen und Regierungen gleichermaßen abgesehen hat, ist zu einer der größten Bedrohungen der IT-Sicherheit geworden. ➡ Weiterlesen

Drastische Zunahme von Malware-Bedrohungen

Sicherheitsbedrohungen in OT- und IoT-Umgebungen nehmen stark zu. Das Gesundheitswesen, der Energiesektor und die Fertigung sind besonders davon betroffen. Die ➡ Weiterlesen