Auch wenn die große Welle erfolgreicher Ransomware-Attacken vorüber ist, die vor zwei Jahren mit Wannacry, Petya und NotPetya zahlreiche Firmen, Organisationen und Behörden traf, geht es dem Geschäft mit Erpressersoftware nach wie vor recht gut. Immer noch können die Cyberkriminellen hinter solchen Angriffen hohe Summen durch die Verschlüsselung wertvoller Datenbestände erwirtschaften.

So auch im Fall von "Ryuk", einer neuen Schadsoftware, deren Treiben nun die Sicherheitsfirmen Crowdstrike, Checkpoint und Fireeye offen gelegt haben. Sie hat ihren Machern in fünf Monaten rund vier Millionen Dollar eingebracht. Dafür bedient sie sich einer eigenen Taktik bei der Zielauswahl, schreibt Ars Technica.

Trojaner späht Netzwerk aus

Die "Vorstufe" von Ryuk ist ein Trojaner namens "Trickbot". Landet er auf einem System, so beginnt er damit, sich Rechte zu verschaffen und Module nachzuladen, ohne aber Nutzerdateien zu verschlüsseln. Eines seiner Werkzeuge wurde "Grim Spider" getauft. Es dient dazu, eine umfassende Netzwerkanalyse auszuführen, um zu erkennen, ob der Rechner Teil einer größeren Firma oder Organisation ist. Gleichzeitig wird auch versucht, relevante Passwörter zu ermitteln und Nutzerkonten anzulegen. Immer wieder kommuniziert der Schädling dabei Informationen an eine fremde IP-Adresse.

Bei dieser Analyse lässt sich Trickbot allerdings Zeit. Bis zu einem Jahr kann er als eine Art "Schläfer" eingenistet sein, ehe im nächsten Schritt möglichst viele Rechner im erkannten Netzwerk gekapert und Dateien verschlüsselt werden. Das geschieht allerdings nur, wenn das Ziel als groß genug erachtet wurde. Die These der Ryuk-Macher dürfte sein, dass ein solcher Angriff auf größere Unternehmen und Organisationen lukrativer ist. Private Computer und Unternehmen mit kleinen Netzwerken bleiben hingegen von dieser zweiten Stufe verschont. Ein Vorbild für diese Taktik dürfte die 2015 entdeckte Ransomware "Samsam" sein, die ähnlich gestrickt war.

Rätselraten um Hintergrund der Täter

Wer wieder Zugriff auf die Daten haben möchte, muss den Machern Bitcoins überweisen. Auf diese Weise sollen sie seit August bereits Kryptogeld im Gegenwert von rund 3,7 Millionen Dollar eingenommen haben. Wie viel davon in übliches Geld umgesetzt werden konnte, ist unklar.

Ebenso ist noch nicht bekannt, von wo aus die Täter operieren. Berichten, wonach Ryuk von nordkoreanischen Hackern in Umlauf gebracht wurde, messen Crowdstrike und Fireeye wenig Bedeutung bei. Crowdstrike nimmt "mit mittlerer bis hoher Sicherheit" an, dass die Angreifer in Russland zu finden sind. (red, 14.01.2018)