Datenklau-Trojaner Beta Bot verlegt sich auf Ransomware

Der Trojaner Beta Bot, ein seit Jahren kursierendes Spionagewerkzeug, hat sein Geschäftsmodell erweitert. Wie das Sicherheitsunternehmen Invincea berichtet, infiziert er seine Opfer neuerdings auch mit einer Ransomware, die Nutzerdateien verschlüsselt und den Schlüssel nur gegen Lösegeld herauszugeben droht.

Den Forscher zufolge ist es das erste Mal, dass ein Trojaner von Bankdaten- und Passwortdiebstahl auf Erpressung umsattelt. Beta Bot kursiere seit März 2013. Die Schadsoftware sei in der Lage, Antiviren- und andere Sicherheitsprogramme auf infizierten Windows-Rechnern auszuschalten, bevor sie Zugangs- und Finanzdaten aus dem Browser abzugreifen versuche.

Als zweiter Teil eines solchen Angriffs wird neuerdings laut Invincea eine Ransomware geladen – also nach zumindest dem Versuch, Daten zu stehlen. Es handelt sich um die Cerber-Ransomware, die Trend Micro im März 2016 als „erste sprechende“ Ransomware charakterisierte, weil sie ihre Forderungen auch per Audiodatei stellen kann. Sie kommt vom gleichen Server wie zuvor schon Beta Bot.

Eine Installation von Beta Bot erfolgt in aller Regel über das Exploit-Kit Neutrino. Den Kontakt stellt ein präpariertes Dokument her, das sich als Lebenslauf eines Bewerbers tarnt und den Anwender bittet, Makros zu aktivieren.

„Dies ist das erste Mal, dass ein als Waffe eingesetztes Dokument mit einer Passwörter stehlenden Malware in einem zweiten Schritt eine Ransomware aufruft“, schreibt Invincea-Forscher Pat Belcher. „Diese Weiterentwicklung zielt darauf ab, aus einem kompromittierten Endpunkt den maximalen Profit herauszuholen: Mehrere Angriffstechniken führen zu mehr Einnahmen.“

Cerber fordert typischerweise eine Bitcoin Lösegeld – derzeit ungefähr 520 Euro. Zudem schätzt Invincea, dass die gestohlenen Passwörter im Dark Web 185 Dollar (165 Euro) wert sind, was sich zu einem Profit von bis zu 685 Euro summiert. Und: Die Ransomware ist fast dreimal so lukrativ wie der Passwortdiebstahl.

In den letzten Monaten wurden zahlreiche Ransomware-Infektionen bekannt: Das US-Krankenhaus Hollywood Presbyterian Medical Center zahlte die geforderten 17.000 Dollar, um schnell wieder den Betrieb aufnehmen zu können, ebenso wie die unterfränkische Stadt Dettelbach. Dagegen blieben einige Krankenhäuser in Nordrhein-Westfalen, etwa das Lukaskrankenhaus in Neuss, standhaft. Die Patientendaten wurden dort auf Basis eines Backups wiederhergestellt. Einer anderen Umfrage zufolge zahlt jedes dritte Opfer in Deutschland Lösegeld.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit einem Themenpapier reagiert, das über Ransomware informiert und Hilfestellung zum Umgang mit dieser Bedrohung gibt. Es ist insbesondere für professionelle Anwender und IT-Verantwortliche in Unternehmen, Behörden und anderen Institutionen gedacht. Das 19-seitige Dokument widmet sich der verschärften Bedrohungslage durch Ransomware und beschreibt Angriffsvektoren sowie mögliche Schäden. Konkrete Empfehlungen und Hilfestellungen für Prävention sowie die Reaktion im Schadensfall bilden weitere Schwerpunkte.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de