Yanluowang Ransomware läutet eine neue Ära der Ransomware ein. IT-Sicherheitsexperten gehen davon aus, dass die gefährliche Malware die (Unternehmens-) Welt noch lange in Atem halten wird.
Wir werden nun verraten, wie der Yanluowang-Erpressungstrojaner im Detail funktioniert und was Unternehmen sonst noch erwarten können.
Yanluowang Ransomware greift gezielt Unternehmen an
Der Erpressungstrojaner mit dem klangvollen Namen Yanluowang ist noch relativ jung, hat aber ein unvergleichliches Potenzial. Während die ersten Angriffe mit der neuen Art von Ransomware vor fast genau einem Jahr stattfanden, scheint es jetzt richtig los zu gehen.
Yanluowang ist international unterwegs. Unternehmen aus Ländern wie den USA, Deutschland, China, der Türkei und Brasilien gehören bereits zu den Opfern. Der Grund, warum Sicherheitsexperten nun zunehmend Alarm schlagen, ist, dass der Trojaner nach bisherigen Analysen eine Vielzahl perfider Funktionen besitzt. Und die meisten von ihnen wurden noch nicht einmal benutzt. Die Bedrohung ist also größer als ursprünglich gedacht und es bleibt abzuwarten, inwieweit Yanluowang nach Abschluss der Entwicklungsphase Schaden anrichtet.
Die Bedrohung durch Yanluowang Ransomware nimmt zu. Bild: Pexels/Mati Mango
Neuer Erpressungstrojaner nutzt Voice-Phishing
Im Gegensatz zu vielen anderen Vertretern seiner Kategorie wird das mittlerweile klassische Ransomware-as-a-Service-Prinzip nicht angewendet. Stattdessen basiert der Erfolg der fiesen Schadsoftware auf dem sogenannten Voice Phishing, einer modernen Form von Social Engineering.
Kurz zur Erklärung: Diese Methode nutzt innovative Technologien aus den Bereichen Deep Learning und KI. Zum Beispiel können die Stimmen von Vorgesetzten perfekt nachgebildet werden. Mitarbeiter, die dann einen solchen Fake-Anruf erhalten, haben fast keine Chance zu erkennen, dass der Anrufer in Wirklichkeit nicht ihr Chef ist, sondern ein Computer oder ein Hacker mit einem Sprachwechsler. Und der gute Mitarbeiter folgt dann natürlich den Anweisungen des Vorgesetzten — auch wenn er darüber etwas überrascht ist.
Die neue Generation von Ransomware zeigt also gut, auf welche neuen Methoden und Tricks sich Unternehmen in Zukunft einstellen müssen. Hacker und Cyberkriminelle arbeiten mit immer besseren Tricks, um ihre Ziele zu erreichen. Und das „menschliche Sicherheitsrisiko“ spielt weiterhin eine große Rolle.
So funktioniert Yanluowang Ransomware
In der ersten Phase des Angriffs gelangen die Drahtzieher der Kampagne auf verschiedene Weise an wichtige Anmeldedaten. Durch den anschließenden Fake-Call soll dann die 2-Faktor-Authentifizierung ausgetrickst werden, die mittlerweile bei fast allen Unternehmen, Anbietern, Banken und Dienstleistern Standard ist.
Während des Voice-Phishing-Anrufs bittet der vermeintliche Chef seinen Gesprächspartner daher, eingegangene Push-Nachrichten von Authentifizierungs-Apps zu bestätigen. Dieser Betrug ist auch als „MFA-Bombing“ bekannt und wird von der berüchtigten Hackergruppe Lapsus $ tatsächlich als „Meilensteinerfindung“ angesehen. Aber warum nicht von anderen Hackern lernen?
Sobald der Ransomware-Trojaner das System infiltriert hat, beginnt der Verschlüsselungsprozess — aber nicht nur das. Yanluowang ist auch in der Lage, Backup-Management- und Datenschutzsysteme zu beenden. Nicht zuletzt gibt es das, worauf jede Ransomware hinarbeitet: die Lösegeldforderung.
Die Mitarbeiter selbst sind immer noch oft der Grund für den Erfolg eines Angriffs. Bild: Pexels/Yan Krukov
Die Lösegeldforderung ist mit weiteren Bedrohungen verbunden
Um den Opfern die Hoffnungslosigkeit ihrer Situation vor Augen zu führen, reicht es nicht aus, einfach Lösegeld zu verlangen. Darauf folgen weitere Bedrohungen, die wirklich hart sind. Zum Beispiel, dass weitere Angriffe folgen, einschließlich der vollständigen Datenlöschung, oder dass Geschäftspartner des Unternehmens ebenfalls angegriffen werden. In anderen Fällen drohte die Veröffentlichung sensibler Daten im Darknet oder zerstörerische DDoS-Angriffe, falls kein Lösegeld gezahlt wurde.
Wie Sie sehen, verfolgt Yanluowang einen äußerst aggressiven Ansatz. Angesichts der Bedrohungen und der ausgeklügelten Funktionen von Ransomware haben die Opfer eigentlich keine Wahl mehr. Eine bittere Erfahrung, die das bekannte Unternehmen Cisco bereits gemacht hat. Hier verschafften sich die Hacker Zugriff auf das Google-Konto eines Mitarbeiters. Dieses enthielt Informationen über die Netzwerkdaten des Unternehmens. Mithilfe von Voice-Phishing haben die Kriminellen den Mitarbeiter schließlich ausgetrickst und die 2-Faktor-Authentifizierung ausgenutzt. Dies ebnete den Weg zum Unternehmensnetzwerk (vorerst).
Ganzheitliches IT-Sicherheitskonzept schützt vor einem bösen Erwachen
Das gerade von Cisco beschriebene Beispiel macht einmal mehr deutlich, wie wichtig ein ganzheitliches IT-Sicherheitskonzept ist. Denn die Hacker haben es tatsächlich geschafft, in das Unternehmensnetzwerk einzubrechen, aber damit war es vorbei. Weil die Alarmanlagen funktionierten und die Cisco-Sicherheitsexperten die Angreifer verdrängen konnten. Es sollte erwähnt werden, dass sie über mehrere Wochen immer wieder ihr Glück versucht haben und 3.100 Dateien kopieren konnten, die sie bis heute zu veröffentlichen drohen.
In jedem Fall stellt die neue Generation von Erpressungstrojanern eine große Bedrohung für Unternehmen dar. Wer immer noch glaubt, auf Firewalls, Antivirensoftware, Backup-Lösungen oder gar Sicherheitstrainings für Mitarbeiter verzichten zu können, irrt sich gewaltig.
Wenn Sie dagegen auf Nummer sicher gehen möchten, wenden Sie sich einfach an die IT-Experten von one4 IT. Unsere Sicherheitsexperten arbeiten mit Ihnen zusammen, um es selbst den klügsten Hackern so schwer wie möglich zu machen.
Weitere Links:
Enigmasoftware, Golem
Lesen Sie den Originalartikel auf IT-SERVICE.network