Datenklau-Trojaner Beta Bot verlegt sich auf Ransomware

Der Trojaner Beta Bot, ein seit Jahren kursierendes Spionagewerkzeug, hat sein Geschäftsmodell erweitert. Wie das Sicherheitsunternehmen Invincea berichtet, infiziert er seine Opfer neuerdings auch mit einer Ransomware, die Nutzerdateien verschlüsselt und den Schlüssel nur gegen Lösegeld herauszugeben droht.

Den Forscher zufolge ist es das erste Mal, dass ein Trojaner von Bankdaten- und Passwortdiebstahl auf Erpressung umsattelt. Beta Bot kursiere seit März 2013. Die Schadsoftware sei in der Lage, Antiviren- und andere Sicherheitsprogramme auf infizierten Windows-Rechnern auszuschalten, bevor sie Zugangs- und Finanzdaten aus dem Browser abzugreifen versuche.

Als zweiter Teil eines solchen Angriffs wird neuerdings laut Invincea eine Ransomware geladen – also nach zumindest dem Versuch, Daten zu stehlen. Es handelt sich um die Cerber-Ransomware, die Trend Micro im März 2016 als „erste sprechende“ Ransomware charakterisierte, weil sie ihre Forderungen auch per Audiodatei stellen kann. Sie kommt vom gleichen Server wie zuvor schon Beta Bot.

Eine Installation von Beta Bot erfolgt in aller Regel über das Exploit-Kit Neutrino. Den Kontakt stellt ein präpariertes Dokument her, das sich als Lebenslauf eines Bewerbers tarnt und den Anwender bittet, Makros zu aktivieren.

„Dies ist das erste Mal, dass ein als Waffe eingesetztes Dokument mit einer Passwörter stehlenden Malware in einem zweiten Schritt eine Ransomware aufruft“, schreibt Invincea-Forscher Pat Belcher. „Diese Weiterentwicklung zielt darauf ab, aus einem kompromittierten Endpunkt den maximalen Profit herauszuholen: Mehrere Angriffstechniken führen zu mehr Einnahmen.“

Cerber fordert typischerweise eine Bitcoin Lösegeld – derzeit ungefähr 520 Euro. Zudem schätzt Invincea, dass die gestohlenen Passwörter im Dark Web 185 Dollar (165 Euro) wert sind, was sich zu einem Profit von bis zu 685 Euro summiert. Und: Die Ransomware ist fast dreimal so lukrativ wie der Passwortdiebstahl.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

In den letzten Monaten wurden zahlreiche Ransomware-Infektionen bekannt: Das US-Krankenhaus Hollywood Presbyterian Medical Center zahlte die geforderten 17.000 Dollar, um schnell wieder den Betrieb aufnehmen zu können, ebenso wie die unterfränkische Stadt Dettelbach. Dagegen blieben einige Krankenhäuser in Nordrhein-Westfalen, etwa das Lukaskrankenhaus in Neuss, standhaft. Die Patientendaten wurden dort auf Basis eines Backups wiederhergestellt. Einer anderen Umfrage zufolge zahlt jedes dritte Opfer in Deutschland Lösegeld.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit einem Themenpapier reagiert, das über Ransomware informiert und Hilfestellung zum Umgang mit dieser Bedrohung gibt. Es ist insbesondere für professionelle Anwender und IT-Verantwortliche in Unternehmen, Behörden und anderen Institutionen gedacht. Das 19-seitige Dokument widmet sich der verschärften Bedrohungslage durch Ransomware und beschreibt Angriffsvektoren sowie mögliche Schäden. Konkrete Empfehlungen und Hilfestellungen für Prävention sowie die Reaktion im Schadensfall bilden weitere Schwerpunkte.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago