Ransomware Scarab erlaubt Lösegeldverhandlungen

Forscher des Sicherheitsanbieters Fortinet beschreiben eine Ransomware namens Scarab, die derzeit über das Botnet Necurs verteilt wird, das auch schon für die Verbreitung der Ransomware Locky verantwortlich war. Wie andere Erpresser-Malware auch ist Scarab in der Lage, die Dateien eines Opfers zu verschlüsseln, um ein Lösegeld zu verlangen. Im Gegensatz zu anderen Vertretern dieser Gattung schreibt Scarab jedoch keinen Betrag vor, sondern gibt dem Opfer die Möglichkeit, die Höhe des Lösegelds zu verhandeln.

Auf ein System gelangt Scarab über eine VBScript-Anwendung, die wiederum in Spam-E-Mails enthalten ist. Sobald das Skript ausgeführt wird, lädt es die Scarab-Ransomware herunter und installiert sie. Scarab wiederum verbindet sich nach dem ersten Start ebenfalls mit einer Website, um die IP-Adresse und andere Informationen über das infizierte System zu übermitteln.

Danach beginnt die eigentliche Dateiverschlüsselung – selbst wenn das Opfer die Internetverbindung seines Systems kappt. Verschlüsselte Dateien versieht die Ransomware mit der Dateiendung „scarab“. Schließlich blendet sie ihre Lösegeldforderung ein.

Darin fordern die Hintermänner ihre Opfer auf, per E-Mail oder ersatzweise per Bitmessage mit ihnen Kontakt aufzunehmen. Zudem bieten sie an, drei Dateien vorab kostenlos zu entschlüsseln. Sie dürfen jedoch nicht größer sein als 10 MByte und keine wertvollen Informationen enthalten.

„Die von Scarab angebotenen Lösegeldverhandlungen sind besonders interessant“, kommentierte Aaron Higbee, Gründer und CTO von PhishMe. „Während die Verhandlungen die Wahrscheinlichkeit erhöhen, dass ein Lösegeld gezahlt wird, erlauben sie es auch, die Forderungen an den Bitcoin Wechselkurs anzupassen.“

Die Forscher gehen davon aus, dass diese neue Taktik durch den zuletzt stark gestiegenen Bitcoin-Kurs erforderlich wurde. 2016 habe das Lösegeld meist bei einem Bitcoin gelegen – als der Kurs der Kryptowährung unter 1000 Dollar lag. Inzwischen ist ein Bitcoin mehr als 16.000 Dollar wert, was ein Lösegeld von 0,1 Bitcoin für viele Opfer möglicherweise schon unerschwinglich macht.

Allerdings dürfen die Lösegeldverhandlungen auch nicht als Entgegenkommen der Erpresser gewertet werden. Es geht ihnen nach wie vor nur um ihren eigenen finanziellen Vorteil. Unter anderem sollen Formulierungen wie „Der Preis ist davon abhängig, wie schnell Sie bezahlen“ in der Lösegeldforderung Druck aufbauen und Nutzer zu einer spontanen Lösegeldzahlung verleiten. Generell ist jedoch davon abzuraten, weil selbst nach der im Fall von Scarab angebotenen kostenlosen Entschlüsselung von drei Dateien nicht sichergestellt ist, dass nach der Begleichung der Forderung auch der Entschlüsselungsschlüssel geliefert wird. Zudem führt jede Lösegeldzahlung dazu, dass sich das Geschäftsmodell Ransomware für Cyberkriminelle lohnt.

WEBINAR

Ransomware Protection: Praxisleitfaden für den Schutz ihres Unternehmens

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in dem 60-minütigen Webinar die neue Sicherheitslösung Malwarebytes Endpoint Protection vor, die ein mehrstufiges Sicherheitskonzept enthält und damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen Angriffen bietet.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago