Seit zweieinhalb Jahren werden Unternehmen von einem Schädling terrorisiert, der in ihre Netzwerke eindringt und sämtliche Computer mit einer zerstörerischen datenverschlüsselnden Malware infiziert: SamSam. Details über die Angriffe, die Opfer, die Methoden und den Ursprung dieser Malware sind nur schwer aufzudecken. Eines ist laut den Sicherheitsexperten von Sophos jedoch gewiss: Durch das Erpressen hoher Lösegelder von einer wohl recht kleinen Opfergruppe, die nur sehr widerwillig Einblicke in ihr Unglück gab, bleiben die SamSam-Angreifer schwer fassbar – häuften aber ein geschätztes Vermögen von rund 5,9 Millionen Dollar an.

Das hat Sophos nach eigenen Angaben in der vor Kurzem veröffentlichten Langzeitstudie zu SamSam herausgefunden. Die intensive Untersuchung zeigte auch, dass die Cyberkriminellen offenbar vor aller Augen operieren können, so Sophos.

Zugang via RDP

Zugang zu ihren Opfern erhielten die Angreifer via RDP (Remote Desktop Protocol), eine Technik, die Unternehmen oft einsetzen, damit ihre Mitarbeiter sich aus der Ferne verbinden können. Wer das Protokoll nutzt, ist allerdings recht einfach über Suchmaschinen wie Shodan aufzufinden. Schwach gesetzte Kennwörter machen die Kriminellen mithilfe öffentlich erhältlicher Tools wie nlbrute ausfindig.

Weiterleitung zum Darknet

Der Ablauf ist immer gleich: Die Opfer werden „gebeten“, Lösegeld zu zahlen, den Tor-Browser zu installieren (eine modifizierte Version von Firefox, die das Navigieren auf verborgene Services, dem sogenannten Darknet, erlaubt), um dann die Website der Angreifer zu besuchen und die Entschlüsselungssoftware herunterzuladen. Dort gibt es seitens der Kriminellen auch genaue Instruktionen, wie der Bezahlvorgang mit Bitcoins vonstatten gehen soll. Wie alle Bitcoin-Transaktionen sind aber auch diese gut sichtbar, die Zu- und Abgänge lassen sich einfach beobachten. Dies wirft die Frage auf, wie Cyberkriminelle auf diesem öffentlichen Spielfeld so unbehelligt operieren können.

Bezahlung mit Bitcoins

Das Vertrauen der Nutzer zur weltweit beliebtesten Cryptowährung Bitcoin liegt an ihrer Seriosität – alle Transaktionen liegen in der öffentlich und jederzeit einsehbaren Blockchain. Die Nutzer sind dort mit einer oder mehreren E-Mail-Adressen registriert, und jede Transaktion von einer zu einer anderen Adresse wird verzeichnet. Wer jedoch genau welche Adresse hat oder vielleicht sogar mehrere, kann nicht nachvollzogen werden.

Die Entwickler von SamSam nutzten Bitcoins von Anfang an. Zunächst änderten sie die Einzahlungsadresse für das Lösegeld noch regelmäßig, aber nach und nach wurden sie laut den Sophos-Untersuchungen nachlässiger. Clever umgingen sie jedoch alle Risiken, entdeckt zu werden, indem sie so genannte Tumblers einsetzten, mit denen eine Art Bitcoin-Geldwäsche möglich ist. Zudem wurden die Opfer angewiesen, Bitcoins anonym zu bezahlen. An dieser Stelle zeige sich, dass die Bitcoin-Transparenz Stärke und Schwäche zugleich und die Blockchain die Definition von Big Data ist, so die Sophos-Experten.

Die Erpressungsopfer können sich auf der Hacker-Website, auf die sie zuvor „gebeten“ wurden, direkt mit den Kriminellen austauschen. Nicht selten kommt es dabei zu bizarren Sonderangeboten durch den Erpresser:

  1. Die vollständige Entschlüsselung des PCs. Gegen volles Lösegeld.
  2. Zwei beliebige Dateien können kostenlos entschlüsselt werden, um zu prüfen, ob die Entschlüsselung auch funktioniert.
  3. Ein beliebiger Computer kann freigegeben werden, wenn der Hacker ihn für unbedeutend hält.
  4. Ein PC lässt sich entschlüsseln für 0,8 BTC (umgerechnet, je nach Tageskurs, etwa 4,5 Euro – ein Super-Spezial-Angebot von Juni 2018).
  5. Die Hälfte der Computer kommt frei – für die Hälfte des Lösegelds.

Via Messages können sich Opfer und Angreifer auch auf individuelle Lösungen einigen, Geld muss natürlich immer fließen. Was das Dark Web so attraktiv und nützlich für Kriminelle macht, ist, dass es verschiedene Ebenen der Verschlüsselung verwendet, zudem eine Serie zwischengeschalteter Computer, um die IP-Adresse einer Website zu verbergen.

Alles hoffnungslos verloren? Laut Sophos nicht ganz. Die Tor-Technik ist hochentwickelt und leistungsfähig, aber sie ist kein hundertprozentiger Tarnmantel, und daher kommen auch Eigentümer der Darknet-Websites ziemlich regelmäßig in Haft.

„Angesichts des medialen Trubels könnte man glauben, das Darknet wäre unüberschaubar groß. In der Tat aber ist es ziemlich klein. Während das reguläre Web hunderte Millionen aktiver Web-Seiten aufweist, kann das Dark Web nur mit Tausenden aufwarten“, weiß Michael Veit, Security Evangelist bei Sophos.

„Größe ist wichtig,“, so der Sophos-Fachmann weiter, „denn je kleiner ein Netzwerk ist, desto leichter ist es abzutasten und zu überwachen, und Überprüfungen des Dark Webs haben sehr interessante Fakten aufgezeigt: Es ist weitaus stärker zentralisiert und miteinander verbunden, als man denkt. Und auch wenn Tor sehr gut darin ist, IP-Adressen zu verschleiern, so sind die Dark-Web-Aktivitäten einiger Teilnehmer durch menschliche Fehler offen geworden. Irgendjemand war also entweder nachlässig oder redselig, weil ihn jemand verärgert hat. Und da die Entwickler von SamSam sich viele Feinde gemacht haben, ist es auch hier vermutlich nur eine Frage der Zeit …“

Weitere Informationen stehen unter www.sophos.de zur Verfügung.

Dr. Jörg Schröper ist Chefredakteur der LANline.