Plattformübergreifende JavaScript-Malware

Der englische Begriff "Ransom" bedeutet im Deutschen nichts anderes als "Lösegeld". Tatsächlich handelt es sich bei dieser Art von Angriff um nichts anderes als eine digitale Erpressung über das Internet. In der Regel erfolgt die Infektion per Drive-by-Download oder als E-Mail-Anhang. Nach der Infektion verschlüsselt das Schadprogramm einzelne Dateien oder gar ganze Festplatten und fordert von seinem Opfer eine anonyme Lösegeldzahlung, etwa per Bitcoin.

Bereits im Jahr 2015 wurden zahlreiche Infektionen durch diese Art von Malware öffentlich. Und genauso scheint es auch im neuen Jahr weiterzugehen. Mit einem kleinen Unterschied: Malware-Programmierer nutzen derzeit vermehrt ein aus der IT bereits bekanntes Geschäftsmodell: "Software as a Service" (SaaS). Im letzten Jahr deuteten sich bereits erste Kampagnen mit der Veröffentlichung von "Tox", "Fakben" und "Radamant" an.

Ransom32: Malware-as-a-Service

Sicherheitsspezialisten der Firma Emsisoft haben einen Blick hinter die Kulissen der Ransomware "Ransom32" geworfen und dabei einige interessante Eigenschaften entdeckt. So sieht die Ransomware auf den ersten Blick aus wie jede andere ihrer Art. Die Anmeldung an einem versteckten und nur für die (potenziellen) Angreifer gedachten Control-Server erfolgt wie so häufig über das Tor-Netzwerk, das die Verbindungsdaten der Nutzer anonymisiert. Durch die Eingabe einer Bitcoin-Adresse erfolgt dann die Anmeldung am eigentlichen Dienst. Darüber hinaus wird diese Adresse genutzt, um die digitalen Lösegelder der Opfer einzusammeln.

Nach der erfolgreichen Anmeldung lassen sich dann Konfigurationen vornehmen und Statistiken, beispielsweise über die Infektionsrate, einsehen. Innerhalb der Konfigurationsoberfläche können dabei dann auch unter anderem eigene Warn- oder Erpressungsmeldungen erstellt werden. Auch die

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.