Ransomware Cerber: Schädling verbreitet sich mit hoher Geschwindigkeit
16. August 2016Seit Januar 2016 verfolgt das Threat Intelligence und Research Team von Check Point zusammen mit dem Partner IntSigh die Distributionsnetzwerke von Cerber und haben eine präzise Übersicht über die globale Verteilung erstellt. Durch die Beobachtung der Command & Control (C&C)-Server konnten die Forscher die Bezahlungen und Transaktionen der Opfer einsehen. Weiter zeigen sich so die Umsätze und der Kapitalfluss der Angreifer. Das BSI hat im März 2016 besonders viele Infektionen mit Cerber festgestellt. Die Anzahl der Ransomware-Angriffe stieg allein vom Januar bis zum Mai 2016 um 70 Prozent. Das Bundeskriminalamt (BKA) sieht solche Kampagnen als gefährlich an und erkennt eine deutliche Zunahme der organisierten Banden im Cyberraum. Check Point warnt vor Cerber, da das Bedrohungspotenzial des „jungen“ Verschlüsselungstrojaners in vielen Bereichen von anderen Schädlingen unterscheidet:
• Die Anzahl der Infektionen ist wesentlich umfangreicher: Aktuell laufen 161 verschiedene Kampagnen mit Cerber und der Umsatzerwartung für 2016 liegen bei 2,3 Millionen Dollar. Jeden Tag werden im Durchschnitt acht neue Kampagnen gestartet. Allein im Juli 2016 gab es 100.000 Infektionen und die Einnahmen mit Cerber wurden für denselben Zeitraum auf 195.000 Dollar beziffert.
• Cerber erlaubt auch Laien ohne IT-Kenntnisse den Einsatz von Ransomware: Es stehen leicht verständliche Anleitung in über 12 Sprachen für die Nutzer zur Verfügung. Zusätzlich erlauben die bereitgestellten Interfaces eine einfache Steuerung der gebuchten Kampagne. Weiter gibt es eine Support-Hotline für Rückfragen.
• Die Hintermänner hinter Cerber sind gute Geldwäscher: Die Kriminellen setzen auf die Onlinewährung BitCoin und haben für jedes Opfer ein eigenes Konto erstellt. Nach Bezahlung des Lösegelds (in der Regel ein BitCoin, dies entspricht aktuell ungefähr 590 Dollar), erhält das Opfer einen Schlüssel für seine Dateien. Das Geld wird über einen Mittelsmann an den Empfänger überwiesen und wandert dabei durch viele tausende Konten – eine Nachverfolgung wird dadurch nahezu unmöglich gemacht. Am Ende ist das Geld beim Entwickler und der Partner bekommt eine Beteiligung.
„Der Bericht ermöglicht einen seltenen Einblick in die Gedankenwelt und Ziele der Ransomware-as-a-Service-Branche“, sagt Nathan Shuchami, Head of Advanced Threat Prevention bei Check Point. (rhh)
Hier geht es zu dem Bericht „Cerber: Two Generations of a Ransomware Franchise Revealed“