Was Sicherheitsexperten den Schlaf raubt

Woche 7: Partnerprogramme für Ransomware

Uhr | Aktualisiert
von Coen Kaat

Ein Schadprogramm namens Sage, Android soll absolut sicher sein und Kriminelle suchen online nach Mitarbeitern. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

(Quelle: Ciolanescu / Shutterstock.com / Netzmedien)
(Quelle: Ciolanescu / Shutterstock.com / Netzmedien)

Hohes Gehalt? Ja! Flexible Arbeitszeiten? Ja! Home-Office? Ja! Das Jobangebot klingt verlockend. Dennoch sollten Jobsuchende nicht ohne nachzudenken drauflos klicken.

Nicht, weil hinter den Links in der Stellenanzeige eine betrügerische Phishing-Website stecken könnte. Die in diesen Inseraten hinterlegten Websites scheinen authentischen Immobilienfirmen zu gehören – teilweise handelt es sich auch um ein bekanntes Unternehmen.

Nein, die Kriminellen, vor denen das Bundesamt für Polizei derzeit warnt, kennen einen ganz anderen Trick: Der Job ist echt. Nur ist es nicht der Job, für den man sich vermeintlich bewirbt. Die Kriminellen nutzen ihre neuen Mitarbeiter als Money Mules – Geldesel.

Ohne zu wissen, was sie tun, bringen die Mitarbeiter das Geld in den Wirtschaftskreislauf und waschen es so. Hierfür fordern die Kriminellen sie auf, ihr Privatkonto zur Verfügung zu stellen. Eigentlich ein klares Warnsignal für Jobsuchende.

Das Bundesamt für Polizei empfiehlt daher auch: «Seien Sie misstrauisch!». Auch wenn man Logo und Name des Unternehmens kennt. Im schlimmsten Fall drohe dem unglücklichen Jobsuchenden eine Verurteilung wegen Mithilfe zur Geldwäscherei.

 

Natürlich ist Android sicher!

In den letzten Jahren hat die sogenannte Stagefright-Lücke für einiges Aufsehen gesorgt. 95 Prozent aller Android-Geräte waren betroffen. Fast eine Milliarde Geräte waren gefährdet. Aber passiert ist nichts.

Es gab keinen bestätigten Fall, dass die Schwachstelle ausgenutzt wurde. Das behauptet zumindest Adrian Ludwig, Director von Android Security, gemäss einem Beitrag von The Register. Die Aussagen machte er auf der Sicherheitskonferenz RSA in den USA

Und was ist mit der Masterkey-Schwachstelle? Diese bedrohte 2013 sogar 99 Prozent aller Android-Geräte. Laut Ludwig war auch hier der Schaden minim: lediglich acht Infektionen pro Million Nutzer.

Der Fake-ID-Bug? 82 Prozent der Android-Nutzer waren betroffen. Die Infektionsrate soll aber bei einem von einer Million Nutzer liegen. Die Rede war aber nicht blosses Android-Marketing. Apple sehe die gleichen Zahlen bei iOS.

Der Grund: Der Aufwand, Sicherheitslücken in mobilen Betriebssystemen zu beheben, sei einfach zu gross. Er lohne sich nicht. Malware ist vorhanden. Doch beschränke diese sich in der Regel auf Adware oder vergleiche Schadprogramme, die keine weitreichenden Privilegien für sich fordern.

 

Partnerprogramme für Ransomware

Die Sicherheitsexperten von Kaspersky Lab haben den Ransomware-Markt untersucht. Das Ergebnis: Drei Viertel der Schadprogramme kommen aus Russland, wie das Unternehmen mitteilt. Mindestens 47 der 62 neu entdeckten Erpresser-Malware-Familien wurden von russischsprachigen Cyberkriminellen entwickelt.

„Es ist schwierig zu sagen, warum so viele Ransomware-Familien einen russischsprachigen Ursprung haben“, sagt Anton Ivanov, Sicherheitsforscher bei Kaspersky Lab. „Aber wir beobachten, dass sich kleine Gruppen zu grossen kriminellen Organisationen entwickeln, die mehr Ressourcen und nicht nur russische Ziele im Visier haben.»

Im Untergrund habe sich ein sehr flexibles und nutzerfreundliches System entwickelt, heisst es in der Mitteilung. Die Kriminellen organisieren sich in einem professionellen Partnerprogramm, wie man es vom Vertriebs-Channel her kennt. So gibt es eine Stufe für die Entwickler der Ransomware.

Eine weitere für die Betreiber sogenannter Affiliate-Programme. Diese verbreiten die Schadprogramme weiter und sorgen für den Support. Dabei verdienen sie gemäss Kaspersky täglich bis zu 100'000 US-Dollar – wovon 60 Prozent unter dem Strich als Nettogewinn bleibt.

Die Betreiber haben wiederum ihre eigenen Partner. Diese helfen bei der Verbreitung und erhalten dafür einen Teil des Lösegeldes.

 

Und das dürfte Sage gar nicht freuen

Das Computer Emergency Response Team der Schweizer Regierung (GOVCERT) hat eine Warnung vor Sage 2.0 veröffentlicht. Der Name klingt zunächst ganz harmlos. Was soll schon dahinterstecken ausser einer neuen Softwareversion des britischen Entwicklers Sage?

Das Unternehmen wurde 1981 gegründet und bietet verschiedene Softwarelösungen. Dabei handelt es sich um Lösungen für Enterprise-Resource-Planning (ERP), Customer-Relationship-Management (CRM) oder auch Business Intelligence (BI). Einige Produkte wurden nach dem Unternehmen benannt.

Sage 2.0 kommt jedoch nicht aus dem Hause Sage. Hinter der Bezeichnung steckt eine neue Ransomware-Familie. Wie diese im Detail ihre Opfer verschlüsselt, beschreibt GOVCERT detailliert in einem Blogeintrag.

 

Webcode
DPF8_27218

Kommentare

« Mehr