Erpressersoftware: Cyberkriminelle bieten Opfern Chat-Support an

Verkehrte Welt: Trend Micro sieht Geschäftsmethoden aus der legalen Wirtschaft auch im Cyberuntergrund auf dem Vormarsch

Tags: #cryptoransomware #erpressersoftware #verschlüsselung #av #trendmicro #bedrohung #datensicherung #backup #löschen #cloudspeicher #sicherheitssoftware #jigsaw #whitelisting #news #nachrichten #live-chat #support #chat-support #untergrundwirtschaft #cyberuntergrund #geschäftspraktiken #geschäftsmethoden

Hallbergmoos, 10. Juni 2016. Zuerst machten sie mit einer besonders fiesen Einschüchterungstaktik als „Marketingmethode“ von sich reden, jetzt legen sie auch im „After-Sales-Support“ nach: Die kriminellen Hintermänner der Crypto-Ransomware JIGSAW bieten Opfern seit neuestem die Möglichkeit eines Live-Chats und helfen so bei Fragen, wie sich das geforderte Lösegeld am einfachsten und schnellsten bezahlen lässt. Geschäftsmethoden aus der legalen Wirtschaft wie Arbeitsteilung, Spezialisierung, Marketing und Vertrieb sowie Support sind im Cyberuntergrund längst Standard. Jetzt scheinen auch die Opfer – die „Kunden“ von JIGSAW – direkt in diese kriminelle „Wertschöpfungskette“ einbezogen zu werden.

JIGSAW wurde als Erpressersoftware, die Dateien ihrer Opfer verschlüsselt, für ihre Anleihen beim Horrorfilm „Saw“ bekannt. Sobald die Erpressersoftware startet, erscheint das Bild der Puppe Billy. Die Dateien werden kopiert und verschlüsselt, während die Originaldateien gelöscht werden. Der Schaden wird mit der Zeit immer größer – und zwar mit jeder Stunde, welche die Opfer verstreichen lassen, ohne das geforderte Lösegeld zu zahlen. Je mehr Zeit vergeht, desto mehr Dateien drohen die Cyberkriminellen hinter JIGSAW zu löschen. Sowohl die Menge der gelöschten Dateien als auch die geforderte Geldsumme steigen dabei exponentiell.

Krimineller Kundenservice: irgendwie pervers, aber effektiv
Jüngst hat jedoch Trend Micro eine JIGSAW-Variante mit Live-Chat-Funktion entdeckt. Das erscheint nur logisch und konsequent. Auch wenn diese Erpressersoftware technisch gesehen gar nicht zu den gefährlichsten Schädlingen in ihrer Gattung gehört, dürften viele Opfer mit den im Internet vorgeschlagenen und je nach JIGSAW-Variante durchaus effektiven Abwehrmaßnahmen überfordert sein. Die Wahrscheinlichkeit ist angesichts der handfesten Drohungen leider sehr hoch, dass die betroffenen Anwender leicht in Panik verfallen und so schnell wie möglich bezahlen wollen. Doch wie geht das? Wo kann man sich Bitcoins besorgen? Wie funktioniert der Geldtransfer? Die neue Live-Chat-Funktion bietet sich vor diesem Hintergrund perfekt dazu an, die Umsätze der kriminellen Hintermänner zu maximieren.

„Wir neigen in den deutschsprachigen Ländern mit unserer Ingenieurskultur dazu, Dinge vor allem unter ihren technischen Gesichtspunkten zu betrachten und zu bewerten. Das wird dem Geschäft im cyberkriminellen Untergrund jedoch nicht ganz gerecht. Denn hier herrscht wirtschaftliches Denken vor“, betont Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro. „Der technische Aufwand wird immer auf die Zielgruppe und das mögliche Umsatz- und Gewinnpotenzial abgestimmt. Im vorliegenden Fall mag es zum Beispiel lohnender sein, eine eigene oder gemietete Chat-Support-Mannschaft zu bezahlen, als weiter in die Technik zu investieren – was zu einem späteren Zeitpunkt natürlich nicht auszuschließen ist. Und ich fürchte, mit dieser Taktik werden die JIGSAW-Hintermänner erfolgreich sein und wohl auch in naher Zukunft Nachahmer finden.“

Ein Beweis für diese reine Gewinnorientierung ist der Umstand, dass die Hintermänner der neuen JIGSAW-Variante eine allgemein erhältliche Chatplattform benutzen: onWebChat. Das senkt Aufwand und Kosten. Außerdem haben die Kriminellen darauf verzichtet, automatische Kontrollen einzubauen, um festzustellen, wie lange ein Opfer schon mit dem Schädling infiziert ist, obwohl davon ja die Höhe des Lösegelds abhängt. Offenbar setzen sie eher auf die Ehrlichkeit der Betroffenen als auch auf Technik. Trend Micro hat onWebChat über diesen Missbrauch informiert.

Backups anlegen
Eine grundlegende Möglichkeit, sich vor Erpressersoftware zu schützen, sind regelmäßige Datensicherungen (Backups). Dabei sollten die Anwender der 3-2-1-Regel folgen – drei Kopien in zwei Formaten auf einem isolierten Medium. So lassen sich zum Beispiel die Familienfotos erstens auf einem externen Speichermedium (externe Festplatte oder Stick) speichern, zweitens in der Cloud ablegen und drittens auf eine CD brennen. Der Cloud-Speicher und der nicht eingesteckte USB-Stick verhindern dabei, dass JIGSAW auch die Sicherungskopien verschlüsseln und löschen kann. Sollte kein Cloud-Speicher vorhanden sein und der USB-Stick mit dem Rechner verbunden, so wären wenigstens die auf CD gebrannten Bilder sicher, selbst wenn diese im CD-Laufwerk eingelegt wäre.

Sicherheitssoftware am Endpunkt hilft
Generell sollten Anwender auf ihren Geräten eine moderne Sicherheitssoftware installieren und stets auf dem aktuellen Stand halten. Außerdem sollten diese Schutzlösungen über Cloud-Sicherheitsmechanismen verfügen, damit etwa Webadressen, die zu Erpresser- und anderer Schadsoftware führen, oder E-Mails mit bösartigen Links geblockt und bösartige Dateien gar nicht heruntergeladen oder ausgeführt werden. Zusätzlich bietet die Verhaltensanalyse solcher Sicherheitssoftware Schutz und kann eine unbekannte oder zunächst nicht erkannte Bedrohung noch vor dem eigentlichen Schaden abwehren.

Trend Micro-Kunden – Privatanwender wie Unternehmen – können sich mithilfe der Lösungen „Security“, „Smart Protection Suites“, „Worry-Free Business Security“, „Deep Discovery Email Inspector“, „InterScan Web Security“, „Deep Security“ und „Endpoint Application Control“ vor der Bedrohung durch JIGSAW schützen. „Endpoint Application Control“ verhindert dabei das Installieren und Ausführen jeglicher Software, die nicht vorher von den Administratoren als vertrauenswürdig und zugelassen definiert wurde (so genanntes Whitelisting).

Weitere Informationen
Weitere Informationen zur neu entdeckten JIGSAW-Variante sind im deutschsprachigen Trend Micro-Blog abrufbar.