Deutschland zahlt 110 Euro pro PC
Von Uli Ries
Der Begriff „Ransomware“ trifft das Geschäftsmodell der Online-Kriminellen genau: Der Schädling sperrt den Zugang zum befallenen Computer und gibt ihn erst dann wieder frei, wenn das Opfer ein Lösegeld (englisch „ransom“) berappt. Andernfalls bleiben alle gespeicherten Daten verschlüsselt. Ein Formatieren der Platte würde zwar die Malware entfernen – aber eben auch sämtliche Daten löschen.
Malware-Analysten haben zuletzt festgestellt, dass die Cybergangster ihre Märkte ganz gezielt ansprechen. So sind die Sperrbildschirme der Erpresser-Malware jeweils speziell für Länder in Europa und Nordamerika entworfen und sprachlich angepasst. Es gibt Lockscreen-Designs für Deutschland, Österreich, die Niederlande, England, Frankreich, Irland, Kanada, Mexiko, Norwegen, Rumänien, Spanien und die USA. In den meisten Ländern wurde ein Lösegeld von 150 US$ (ca. 110 Euro) gefordert. Allerdings nehmen die Kriminellen offenbar Rücksicht auf jeweilige Wirtschaftslage: Während sie von Opfern in den USA ganze 300 US$ und damit die höchste Summe fordern, werden in Rumänien nur 100 Euro verlangt.
Server eingelocht
Im Fall der Nymaim bzw. Win32/Nymaim genannten Malware verbreitet sich der Schädling u.a. durch an sich legitime, aber von den Hintermännern mit Darkleech infizierte Webserver. Dazu gehörten bereits so illustre Adressen wie die Server der Los Angeles Times oder des Festplattenherstellers Seagate. Darkleech infiziert die PCs arglos vorbeisurfender Anwender mittels des seit Langem bekannten Exploit-Kits Black Hole.
Der Schädling Nymaim sperrt den PC des Opfers und gibt ihn erst nach Zahlung eines Lösegelds wieder frei. (Bild: botnets.fr/Kafeine)
Win32/Nymaim kam im Zuge der Malware-Kampagne zu Darkleech und dem Black Hole Exploit-Kit in die Welt, die auch als Home Campaign bekannt ist. Seit Februar 2011 konnten dem unabhängigen Security-Analysten und Blogger Kafeine zufolge bereits 2,8 Mio. Infektionen festgestellt werden, die auf das Konto von Black Hole gehen.
Opfersuche nach Keyword
Bereits Darkleech zeigte sich den Sicherheitsexperten als ausgesprochen wählerischer und umsichtiger Gegner, der z.B. Security-Firmen und Administratoren gezielt verschonte und unbehelligt ließ, um nicht aufzufallen. Nun ist Nymaim auf einem neuen Infektionsvektor unterwegs, der ebenfalls intelligent angelegt ist. Er basiert auf Black-Hat-SEO, also auf einer bösartigen Manipulation von Suchmaschinenergebnissen: In ihrem Blog schreiben die Sicherheitsforscher von Eset, dass sie neben den per Black Hole ausgeführten Drive-by-Downloads verseuchte Webseiten fanden, die immer dann durch Black-Hat-SEO oben in Suchergebnissen landeten, wenn nach Begriffen gesucht wurde, die mit Downloads in Verbindung stehen. Klickt das potenzielle Opfer auf einen der Suchtreffer, wird es zu einer von den Malware-Machern kontrollierten Seite geführt.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Magazin zur CeBIT 2014. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Fazit: Treffer versenkt
Der einzige Daseinszweck der Trefferseiten besteht also darin, möglichst weit oben in den Suchergebnissen auftauchen und jeden Besucher sofort auf einen anderen Server weiterzuleiten. Dieser andere Server ist es dann, der dem Anwender die Schadsoftware unterschiebt.
Im Fall von Nymaim war es zumeist eine gezippte Datei, deren Namen den ursprünglich vom Anwender eingegebenen Suchbegriff trägt. Nachdem der Nutzer offensichtlich auf der Suche nach einem (illegalen) Download ist, öffnet er das Archiv ebenso wahrscheinlich, wie er die darin enthaltene EXE-Datei ausführen lässt. Die bringt natürlich nicht den gesuchten Download, sondern Malware wie Nymaim.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing
