Schädling verbreitet sich mit hoher Geschwindigkeit - Cerber

Schädling verbreitet sich mit hoher Geschwindigkeit - Cerber

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit März 2016 vor Gefahr durch Cerber. Check Point entdeckt zahlreiche Anpassungen und technologische Feinheiten in der Malware. Weltweit sind bisher 150.000 Opfer bekannt, davon waren 100.000 allein im Juli 2016 betroffen.

Check Point veröffentlichte einen umfangreichen Hintergrundbericht über das größte aktive „Ransomware-as-a-Service“-Franchise der Welt. Cerber ist ein Beispiel für die rasante Entwicklung der Cyberkriminalität und demonstriert, wie gut kriminelle Gruppen mittlerweile organisiert sind.

Seit Januar 2016 verfolgt das Threat Intelligence und Research Team von Check Point zusammen mit dem Partner IntSigh die Distributionsnetzwerke von Cerber und haben eine präzise Übersicht über die globale Verteilung erstellt. Durch die Beobachtung der Command & Control (C&C)-Server konnten die Forscher die Bezahlungen und Transaktionen der Opfer einsehen. Weiter zeigen sich so die Umsätze und der Kapitalfluss der Angreifer.

Das BSI hat im März 2016 besonders viele Infektionen mit Cerber festgestellt. Die Anzahl der Ransomware-Angriffe stieg allein vom Januar bis zum Mai 2016 um 70 Prozent. Das Bundeskriminalamt (BKA) sieht solche Kampagnen als gefährlich an und erkennt eine deutliche Zunahme der organsierten Banden im Cyberraum.

Check Point warnt vor Cerber, da das Bedrohungspotenzial des „jungen“ Verschlüsselungstrojaners in vielen Bereichen von anderen Schädlingen unterscheidet:

  • Die Anzahl der Infektionen ist wesentlich umfangreicher: Aktuell laufen 161 verschiedene Kampagnen mit Cerber und der Umsatzerwartung für 2016 liegen bei 2,3 Millionen US-Dollar. Jeden Tag werden im Durchschnitt acht neue Kampagnen gestartet. Allein im Juli 2016 gab es 100.000 Infektionen und die Einnahmen mit Cerber wurden für denselben Zeitraum auf 195.000 US-Dollar beziffert.
  • Cerber erlaubt auch Laien ohne IT-Kenntnisse den Einsatz von Ransomware: Es stehen leicht verständliche Anleitung in über 12 Sprachen für die Nutzer zur Verfügung. Zusätzlich erlauben die bereitgestellten Interfaces eine einfache Steuerung der gebuchten Kampagne. Weiter gibt es eine Support-Hotline für Rückfragen.
  • Die Hintermänner hinter Cerber sind gute Geldwäscher: Die Kriminellen setzen auf die Onlinewährung BitCoin und haben für jedes Opfer ein eigenes Konto erstellt. Nach Bezahlung des Lösegelds (in der Regel ein BitCoin, dies entspricht aktuell ungefähr 590 US-Dollar), erhält das Opfer einen Schlüssel für seine Dateien. Das Geld wird über einen Mittelsmann an den Empfänger überwiesen und wandert dabei durch viele tausende Konten – eine Nachverfolgung wird dadurch nahezu unmöglich gemacht. Am Ende ist das Geld beim Entwickler und der Partner bekommt eine Beteiligung.

Der Bericht ermöglicht einen seltenen Einblick in die Gedankenwelt und Ziele der Ransomware-as-a-Service-Branche,“ sagt Nathan Shuchami, Head of Advanced Threat Prevention bei Check Point. „Kunden von Check Point sind gegen sämtliche Varianten von Cerber geschützt und wir hoffen, dass alle andere Sicherheitsanbieter und Schwachstellenforscher ebenfalls entsprechende Maßnahmen ergreifen.“

Weitere Informationen und den Bericht „Cerber: Two Generations of a Ransomware Franchise Revealed“ gibt es hier.

http://www.checkpoint.com/threatcloud-central/