Woche 27: Petya-Autoren wollen Notpetya-Opfern helfen

Cybercrime ist ein Business. Das sagen Sicherheitsexperten schon lange. Die jüngste Ransomware-Attacke hat das nun sehr deutlich bewiesen. Cyberkriminelle, die keine solide Programmierarbeit leisten, verdienen sich auch keine goldene Nase.

Die Petya- beziehungsweise Notpetya-Attacken verursachten aus just dem Grund auch mehr Chaos als Profite. Dies zeigt ein Einblick in die Bitcoin-Transaktionen der Drahtzieher. Der globale Profit mit dem Erpresserprogramm soll sich auf lediglich 10'000 US-Dollar belaufen, wie Bleepingcomputer berichtet.

Zum Vergleich: Die ebenfalls nicht sonderlich erfolgreiche Wannacry-Attacke soll 200'000 Dollar eingebracht haben. Andere Cyberkriminelle verdienten mit ihren Ransomware-Attacken jedoch Beträge in Millionenhöhe.

Die letzten Einnahmen trudelten am 28. Juni ein. Kurz darauf wurde klar, dass die genutzte Ransomware eine fehlerhafte Verschlüsselung verwende. Auch wenn die Opfer das Lösegeld zahlten, erhielten sie ihre Daten nicht zurück.

Die Attacken weckten jedoch die Aufmerksamkeit eines schlafenden Riesen mit einem Faible für den James-Bond-Film "Goldeneye". Die Autoren der ursprünglichen Petya-Ransomware tauchten auf Twitter wieder auf – und boten ihre Dienste an.

Sie wollten prüfen, ob ihr Entschlüsselungscode auch durch Notpetya verschlüsselte Daten wieder entschlüsselt. Vergebens, da sich die Verschlüsselung von Petya und dem raubkopierten Klon Notpetya zu stark unterscheiden.

Janus veröffentlichte den Entschlüsselungscode für alle früheren Petya-Ausführungen dennoch. Gemäss Kaspersky Labs Senior Malware Analyst Anton Ivanov funktioniert dieser tatsächlich. Wer also noch eine alte Festplatte hat, die sich in Petyas Griff befindet, sollte vielleicht mal einen Blick darauf werfen.

Ransomware nur eine Randerscheinung – aber eine mit Wumms!

Vielleicht macht sich die Welt aber auch zu viele Sorgen um Ransomware. Das könnte man zumindest aus einer jüngst veröffentlichten Studie von AV-Test schliessen. Dass 2016 das Jahr der Ransomware war, lasse sich anhand der Verbreitungszahlen nicht erkennen, heisst es in dem Bericht.

Tatsächlich mache Ransomware noch nicht mal 1 Prozent aller Malware für Windows-Rechner aus. Das lasse derartige Erpresser-Trojaner auf den ersten Blick wie eine Randerscheinung wirken. Dieser Anschein ist aber trügerisch. Denn Ransomware sei eine High-Tech-Malware, die eine hohe Streuung benötigt. Sie sucht sich ihre Opfer zielgerichtet im Geschäftsumfeld.

Dennoch kann auch Ransomware für Massenkampagnen genutzt werden. Jüngste Angriffe wie die Wannacry-Attacke oder eben Petya/Notpetya hätten dies deutlich gemacht. Das zeige, wie hoch der Entwicklungsstandard derartiger Malware sei.

Insgesamt entwickelte sich die Malware-Landschaft 2016 rückläufig, wie aus dem Bericht hervorgeht. Erkennungssysteme mussten 14 Prozent weniger neue Malware-Samples aufspüren und abwehren als noch im Vorjahr. Die Gesamtzahl aller Schadprogramme für alle Betriebssysteme lag 2016 bei 640 Millionen. 70 Prozent davon zielten auf Windows-Geräte ab.

Copycat soll 14 Millionen Android-Geräte infiziert haben

Die Sicherheitsexperten von Check Point haben vor einer neuen Android-Bedrohung gewarnt. Diese heisst Copycat, wie das Unternehmen mitteilt. 14 Millionen Geräte seien bereits infiziert. Auf 8 Millionen dieser Geräte hätte die Malware Zugriff auf das Stammverzeichnis – die Angreifer können mit den infizierten Geräten also machen, was sie wollen.

Die Malware verfüge über neuartige Methoden, um Profite zu generieren. Die Drahtzieher dahinter hätten mit Copycat bereits 1,5 Millionen US-Dollar eingenommen. Nachdem sich die Schadsoftware Zugriff verschafft hat, injiziert sie einen bösartigen Code namens Zygote – ein Hintergrundprozess im Android-Betriebssystem der Apps startet.

Auf diese Weise kann die Malware etwa Werbebanner anzeigen und deren Herkunft verschleiern. So weiss der Nutzer oft nicht, wo die Pop-ups herkommen. Zudem kann Copycat gemäss Mitteilung auch Apps herunterladen, um so deren Werbeeinnahmen zu erhöhen.

Mehr als die Hälfte der infizierten Geräte sind in Asien. Doch auch in Europa sind laut Mitteilung fast eine Million Geräte betroffen.

Und Forscher entwickeln Passwortmanager für Paranoide und/oder Harry-Potter-Fans

Zwei Sicherheitsforscher der Universität von Virginia haben einen neuen Passwortmanager entwickelt. Dieser soll es in sich haben. Nach Angaben der Entwickler wurde das Tool namens Horcrux spezifisch für Paranoide entwickelt.

Die Forscher verfolgten einen dezentralen Ansatz, wie aus ihrer Forschungsarbeit hervorgeht. Im Gegensatz zu anderen Passwortmanagern speichert Horcrux die Zugangsdaten nicht an einem einzelnen Ort. Stattdessen sind die Daten über mehrere Server verteilt. Sollte es zu einem Hack kommen, könnte der Datendieb also nur einen Teil der Informationen erbeuten.

Aus diesem Grund erhielt das Tool auch seinen Namen: Horcrux – eine Anspielung auf die Harry-Potter-Reihe. Der Antagonist in den Büchern und Filmen, Voldemort, nutzte mehrere sogenannte Horcruxe, um seine Seele darin zu speichern und auf diese Weise dem Tod zu entgehen.

Die Entwickler stopften den Passwortmanager noch mit weiteren Features voll. So gibt das Tool etwa keine korrekten Daten in Webformulare ein. Stattdessen fange es http-Abfragen ab und ersetze darin die falschen mit den korrekten Zugangsinformationen.

Aktuell ist Horcrux nur als Plug-in für Firefox erhältlich. Die Entwickler veröffentlichten das Tool auf Github.

Die Security-Beitragsreihe nimmt nach dieser Ausgabe eine kurze Auszeit. Ab August fasst die Redaktion wieder jede Woche die Neuigkeiten zu Cybercrime und Cybersecurity zusammen.