Details über die Attacken, die Opfer, die Methoden und den Ursprung dieser Malware sind seitdem nur schwer aufzudecken. Eines ist aber gewiss: Durch das Erpressen hoher Lösegelder von einer wohl recht kleinen Opfergruppe, die nur sehr widerwillig Einblicke in ihr Unglück gab, bleiben die SamSam Angreifer schwer fassbar – häuften aber ein geschätztes Vermögen von rund 5,9 Millionen US-Dollar an.
Das hat Sophos in seiner kürzlich veröffentlichten Langzeitstudie zu SamSam herausgefunden. Die intensive Untersuchung zeigte aber auch, dass die Cyberkriminellen offenbar vor aller Augen operieren können.
Zugang via RDP
Zugang zu ihren Opfern erhielten die Angreifer via RDP (Remote Desktop Protocol), eine Technologie, die Unternehmen oft einsetzen, damit ihre Mitarbeiter sich remote verbinden können. Wer das Protokoll nutzt, ist allerdings recht einfach über Suchmaschinen wie Shodan aufzufinden. Schwach gesetzte Passwörter machen die Kriminellen mithilfe öffentlich erhältlicher Tools wie nlbrute ausfindig.
Weiterleitung zum Dark Web
Der Ablauf ist immer der gleiche: die Opfer werden „gebeten“ das Lösegeld zu zahlen, den Tor Browser zu installieren (eine modifizierte Version von Firefox, die das Navigieren auf verborgene Services erlaubt), um dann die Webseite der Angreifer zu besuchen und sich die Entschlüsselungs-Software downzuloaden. Hier gibt es seitens der Kriminellen auch genaue Instruktionen, wie der Bezahlvorgang mit Bitcoins vonstatten gehen soll. Wie alle Bitcoin-Transaktionen sind aber auch diese gut sichtbar und die Zu- und Abgänge können einfach beobachtet werden. Da stellt man sich doch die Frage, wie Cyberkriminelle auf diesem öffentlichen Spielfeld so unbehelligt operieren können?
Bezahlung via Bitcoins
Das Vertrauen der Nutzer zur weltweit beliebtesten Cryptowährung Bitcoin liegt in ihrer Seriösität – denn alle Transaktionen liegen in der öffentlich und jederzeit einsehbaren Blockchain. Die Nutzer sind dort mit einer oder mehreren Emailadressen registriert und jede Transaktion von einer zu einer anderen Adresse wird verzeichnet, aber: wer genau welche Adresse hat oder vielleicht sogar mehrere, kann nicht nachvollzogen werden.
Die Entwickler von SamSam nutzten Bitcoins von Beginn an. Zunächst änderten sie die Einzahlungsadresse für das Lösegeld noch regelmäßig, aber nach und nach wurden sie nachlässiger. Clever umgingen sie aber alle Risiken, entdeckt zu werden, indem sie so genannte Tumblers einsetzten, mit denen eine Art Bitcoin-Geldwäsche möglich ist. Zudem wurden die Opfer angewiesen, Bitcoins anonym zu bezahlen. Hier zeigt sich, dass die Bitcoin-Transparenz Stärke und Schwäche zugleich ist und die Blockchain per se die Definition von Big Data.
Heute für Sie im Angebot: die Fünf-Fach-Erpressung
Verhandeln mit Kriminellen als besonderes Erlebnis mit SamSam. Die Erpressungsopfer können sich auf der Hacker-Webseite , auf die sie zuvor „gebeten“ wurden, direkt mit den Kriminellen austauschen. Nicht selten kommt es dabei zu bizarren Sonderangeboten durch den Erpresser:
- Die vollständige Entschlüsselung des PCs. Gegen volles Lösegeld selbstverständlich.
- Zwei beliebige Dateien können kostenlos entschlüsselt werden, um zu prüfen, ob die Entschlüsselung auch funktioniert.
- Ein beliebiger Computer kann freigegeben werden, wenn der Hacker ihn für unbedeutend hält.
- Ein PC lässt sich entschlüsseln für 0,8 BTC (umgerechnet, je nach Tageskurs, c.a. 4,5 € – ein Super-Spezial-Angebot von Juni 2018).
- Die Hälfte der Computer kommen frei – für die Hälfte des Lösegelds.
Via Messages können sich Opfer und Angreifer auch auf individuelle Lösungen einigen, Geld muss natürlich immer fließen.
Was das Dark Web so attraktiv und nützlich für Kriminelle macht, ist dass es verschiedene Ebenen der Verschlüsselung verwendet sowie eine Serie von dazwischengeschalteten Computern, um die IP-Adresse einer Webseite zu verbergen.
Und nun? Alles hoffnungslos verloren?
Nicht ganz. Die Tor-Technologie ist hochentwickelt und leistungsfähig, aber sie ist kein hundertprozentiger Tarnmantel, und so werden die Eigentümer der Dark-Net-Webseiten ziemlich regelmäßig inhaftiert.
„Angesichts des medialen Trubels könnte man glauben, das Dark-Net wäre unüberschaubar groß. In der Tat aber ist es ziemlich klein. Während das reguläre Web hunderte Millionen aktiver Webseiten aufweist, kann das Dark Web nur mit Tausenden aufwarten“, weiß Michael Veit, Security Evangelist bei Sophos. „Größe ist wichtig, denn je kleiner ein Netzwerk ist, desto leichter ist es abzutasten und zu überwachen, und Überprüfungen des Dark Web haben etwas sehr Interessantes gezeigt: es ist weitaus stärker zentralisiert und miteinander verbunden, als man denkt. Und auch wenn Tor sehr gut darin ist, IP-Adressen zu verschleiern, so sind die Dark-Web-Aktivitäten Einiger durch menschliche ‚Fehler‘ offenbart worden. Sprich, irgendjemand war entweder nachlässig oder redselig, weil ihn jemand verärgert hat. Und da die Entwickler von SamSam sich viele Feinde gemacht haben, ist es auch hier vermutlich nur eine Frage der Zeit…“
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de