Datenklau-Trojaner Beta Bot verlegt sich auf Ransomware

Zuerst versucht das seit 2013 kursierende Schadprogramm, Bank- und Zugangsdaten aus dem Browser zu stehlen. Anschließend lädt es neuerdings die "sprechende" Ransomware Cerber. Die geforderte Summe von einer Bitcoin ist fast dreimal so hoch wie der Wert eines Kontozugangs.

Der Trojaner Beta Bot, ein seit Jahren kursierendes Spionagewerkzeug, hat sein Geschäftsmodell erweitert. Wie das Sicherheitsunternehmen Invincea berichtet, infiziert er seine Opfer neuerdings auch mit einer Ransomware, die Nutzerdateien verschlüsselt und den Schlüssel nur gegen Lösegeld herauszugeben droht.

Ransomware (Bild: Shutterstock / Carlos Amarillo)Den Forscher zufolge ist es das erste Mal, dass ein Trojaner von Bankdaten- und Passwortdiebstahl auf Erpressung umsattelt. Beta Bot kursiere seit März 2013. Die Schadsoftware sei in der Lage, Antiviren- und andere Sicherheitsprogramme auf infizierten Windows-Rechnern auszuschalten, bevor sie Zugangs- und Finanzdaten aus dem Browser abzugreifen versuche.

Als zweiter Teil eines solchen Angriffs wird neuerdings laut Invincea eine Ransomware geladen – also nach zumindest dem Versuch, Daten zu stehlen. Es handelt sich um die Cerber-Ransomware, die Trend Micro im März 2016 als „erste sprechende“ Ransomware charakterisierte, weil sie ihre Forderungen auch per Audiodatei stellen kann. Sie kommt vom gleichen Server wie zuvor schon Beta Bot.

Eine Installation von Beta Bot erfolgt in aller Regel über das Exploit-Kit Neutrino. Den Kontakt stellt ein präpariertes Dokument her, das sich als Lebenslauf eines Bewerbers tarnt und den Anwender bittet, Makros zu aktivieren.

„Dies ist das erste Mal, dass ein als Waffe eingesetztes Dokument mit einer Passwörter stehlenden Malware in einem zweiten Schritt eine Ransomware aufruft“, schreibt Invincea-Forscher Pat Belcher. „Diese Weiterentwicklung zielt darauf ab, aus einem kompromittierten Endpunkt den maximalen Profit herauszuholen: Mehrere Angriffstechniken führen zu mehr Einnahmen.“

Cerber fordert typischerweise eine Bitcoin Lösegeld – derzeit ungefähr 520 Euro. Zudem schätzt Invincea, dass die gestohlenen Passwörter im Dark Web 185 Dollar (165 Euro) wert sind, was sich zu einem Profit von bis zu 685 Euro summiert. Und: Die Ransomware ist fast dreimal so lukrativ wie der Passwortdiebstahl.

ANZEIGE

Zuverlässiger Schutz vor Ransomware

Ransomware heißt das aktuelle Schreckgespenst in der IT-Welt. Ob Privatanwender, Unternehmen oder öffentliche Institution: Praktisch jeder Internetnutzer hat Angst davor, dass er plötzlich nicht mehr auf seine Daten zugreifen kann, da sie verschlüsselt sind. Dabei bieten aktuelle Sicherheitslösungen wie Bitdefender 2017 zuverlässig Schutz vor dieser Erpressungssoftware.

Ransomware (Bild: Kaspersky)In den letzten Monaten wurden zahlreiche Ransomware-Infektionen bekannt: Das US-Krankenhaus Hollywood Presbyterian Medical Center zahlte die geforderten 17.000 Dollar, um schnell wieder den Betrieb aufnehmen zu können, ebenso wie die unterfränkische Stadt Dettelbach. Dagegen blieben einige Krankenhäuser in Nordrhein-Westfalen, etwa das Lukaskrankenhaus in Neuss, standhaft. Die Patientendaten wurden dort auf Basis eines Backups wiederhergestellt. Einer anderen Umfrage zufolge zahlt jedes dritte Opfer in Deutschland Lösegeld.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit einem Themenpapier reagiert, das über Ransomware informiert und Hilfestellung zum Umgang mit dieser Bedrohung gibt. Es ist insbesondere für professionelle Anwender und IT-Verantwortliche in Unternehmen, Behörden und anderen Institutionen gedacht. Das 19-seitige Dokument widmet sich der verschärften Bedrohungslage durch Ransomware und beschreibt Angriffsvektoren sowie mögliche Schäden. Konkrete Empfehlungen und Hilfestellungen für Prävention sowie die Reaktion im Schadensfall bilden weitere Schwerpunkte.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Banking, Cybercrime, Datendiebstahl, Invincea, Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Florian Kalenda
Autor: Florian Kalenda
Leitender Redakteur ZDNet.de
Florian Kalenda
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Datenklau-Trojaner Beta Bot verlegt sich auf Ransomware

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *