Datenklau-Trojaner Beta Bot verlegt sich auf Ransomware

Zuerst versucht das seit 2013 kursierende Schadprogramm, Bank- und Zugangsdaten aus dem Browser zu stehlen. Anschließend lädt es neuerdings die "sprechende" Ransomware Cerber. Die geforderte Summe von einer Bitcoin ist fast dreimal so hoch wie der Wert eines Kontozugangs.

Der Trojaner Beta Bot, ein seit Jahren kursierendes Spionagewerkzeug, hat sein Geschäftsmodell erweitert. Wie das Sicherheitsunternehmen Invincea berichtet, infiziert er seine Opfer neuerdings auch mit einer Ransomware, die Nutzerdateien verschlüsselt und den Schlüssel nur gegen Lösegeld herauszugeben droht.

Ransomware (Bild: Shutterstock / Carlos Amarillo)Den Forscher zufolge ist es das erste Mal, dass ein Trojaner von Bankdaten- und Passwortdiebstahl auf Erpressung umsattelt. Beta Bot kursiere seit März 2013. Die Schadsoftware sei in der Lage, Antiviren- und andere Sicherheitsprogramme auf infizierten Windows-Rechnern auszuschalten, bevor sie Zugangs- und Finanzdaten aus dem Browser abzugreifen versuche.

Als zweiter Teil eines solchen Angriffs wird neuerdings laut Invincea eine Ransomware geladen – also nach zumindest dem Versuch, Daten zu stehlen. Es handelt sich um die Cerber-Ransomware, die Trend Micro im März 2016 als „erste sprechende“ Ransomware charakterisierte, weil sie ihre Forderungen auch per Audiodatei stellen kann. Sie kommt vom gleichen Server wie zuvor schon Beta Bot.

Eine Installation von Beta Bot erfolgt in aller Regel über das Exploit-Kit Neutrino. Den Kontakt stellt ein präpariertes Dokument her, das sich als Lebenslauf eines Bewerbers tarnt und den Anwender bittet, Makros zu aktivieren.

„Dies ist das erste Mal, dass ein als Waffe eingesetztes Dokument mit einer Passwörter stehlenden Malware in einem zweiten Schritt eine Ransomware aufruft“, schreibt Invincea-Forscher Pat Belcher. „Diese Weiterentwicklung zielt darauf ab, aus einem kompromittierten Endpunkt den maximalen Profit herauszuholen: Mehrere Angriffstechniken führen zu mehr Einnahmen.“

Cerber fordert typischerweise eine Bitcoin Lösegeld – derzeit ungefähr 520 Euro. Zudem schätzt Invincea, dass die gestohlenen Passwörter im Dark Web 185 Dollar (165 Euro) wert sind, was sich zu einem Profit von bis zu 685 Euro summiert. Und: Die Ransomware ist fast dreimal so lukrativ wie der Passwortdiebstahl.

ANZEIGE

Memory Introspection für den Hypervisor: ein neues Sicherheitsframework für virtualisierte Umgebungen

Von den Mainframes der 1960er-Jahre bis zur gegenwärtigen cloud-orientierten Entwicklung haben sich Rechenzentren enorm gewandelt. Als Anwendungen missionskritisch wurden und Desktop-Server in professionelle Rechenzentren umgezogen wurden, nahm die Anzahl physischer Server in den Rechenzentren exponentiell zu.

Ransomware (Bild: Kaspersky)In den letzten Monaten wurden zahlreiche Ransomware-Infektionen bekannt: Das US-Krankenhaus Hollywood Presbyterian Medical Center zahlte die geforderten 17.000 Dollar, um schnell wieder den Betrieb aufnehmen zu können, ebenso wie die unterfränkische Stadt Dettelbach. Dagegen blieben einige Krankenhäuser in Nordrhein-Westfalen, etwa das Lukaskrankenhaus in Neuss, standhaft. Die Patientendaten wurden dort auf Basis eines Backups wiederhergestellt. Einer anderen Umfrage zufolge zahlt jedes dritte Opfer in Deutschland Lösegeld.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit einem Themenpapier reagiert, das über Ransomware informiert und Hilfestellung zum Umgang mit dieser Bedrohung gibt. Es ist insbesondere für professionelle Anwender und IT-Verantwortliche in Unternehmen, Behörden und anderen Institutionen gedacht. Das 19-seitige Dokument widmet sich der verschärften Bedrohungslage durch Ransomware und beschreibt Angriffsvektoren sowie mögliche Schäden. Konkrete Empfehlungen und Hilfestellungen für Prävention sowie die Reaktion im Schadensfall bilden weitere Schwerpunkte.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

Noch keine Kommentare zu Datenklau-Trojaner Beta Bot verlegt sich auf Ransomware

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *