Entschlüsselung gratis

Krypto-Trojaner: Wer Russe ist, ist im Vorteil

(Bild: stock.adobe.com)

Einen interessanten Vortrag über die Methoden der digitalen Lösegeld-Mafia hat der IT-Sicherheitsforscher Linus Neumann beim 36. Jahrestreffen des Chaos Computer Clubs (CCC) in Leipzig gehalten. Er führte aus, wie schnell Mitarbeiter im Firmenumfeld in die Falle tappen - und wieso es von Vorteil sein kann, als Opfer eines Krypto-Trojaners Russe zu sein.

Krypto-Trojaner (auch als Ransomware bekannt) sind nicht nur für Private, sondern besonders auch für Firmen und Behörden eine gefährliche Bedrohung. Die Schädlinge, hinter denen nach Ansicht vieler Experten das organisierte internationale Verbrechen steckt, verschlüsseln nach der Infektion eines Rechners die Daten und gewähren erst wieder Zugriff, wenn der User ein Lösegeld in Form von Bitcoins gezahlt hat.

Beim Chaos Communication Congress in Leipzig hat der IT-Sicherheitsforscher Einblicke ins System hinter dem Geschäft mit dem Lösegeld präsentiert, berichtet „Heise“. So schauen die Hintermänner der Krypto-Trojaner offenbar Kaufanreiz-Strategien im Online-Handel ab.

Bei manch einer Ransomware steige beispielsweise nach der Infektion nach und nach der Preis für die Entschlüsselung der Daten - ganz so wie bei zeitlich begrenzten Angeboten auf Buchungsportalen. Manche Entwickler von Krypto-Trojanern bieten auch die kostenlose Entschlüsselung einer einzigen Datei an - quasi als Beweis, dass sie nach geleisteter Zahlung wirklich alle Daten wiederherstellen können.

(Bild: ©Andrey Popov - stock.adobe.com)

Entschlüsselung für Russen gratis
Eine besonders interessante Entdeckung machte Neumann, als er sich gemeinsam mit einem russischsprachigen Kollegen mit dem „Kundendienst“ des mutmaßlich aus Russland stammenden Krypto-Trojaners GandCrab in Verbindung setzte. Zunächst korrespondierte man auf Englisch mit den Erpressern, Neumanns Kollege wechselte schließlich auf Russisch.

Ich brauche nur einen Beweis, dass du Bürger Russlands bist, dann stellen wir die Daten kostenlos wieder her.

"Kundendienstler" des Krypto-Trojaners GandCrab

Da wurden die Erpresser neugierig: Wieso der Trojaner, der eigentlich keine Computer in russischsprachigen Regionen befällt, denn bei ihm aktiv geworden sei? Weil er für Gazprom im Ausland arbeitete, entgegnete der Kollege. Darauf die Erpresser: „Mach bitte ein Foto von deinem Pass. Ich brauche nur einen Beweis, dass du Bürger Russlands bist, dann stellen wir die Daten kostenlos wieder her.“

Schulungen helfen wenig
Die Wirksamkeit von Schulungen, um Mitarbeiter für die Gefahren durch meist über verseuchte E-Mails in Firmen eingeschleuste Krypto-Trojaner zu sensibilisieren, zweifelt Neumann an. Meist ziele ein verseuchtes Mail auf die schnellen und intuitiven Abläufe im Hirn ab und werde geöffnet, noch bevor der langsamere analytische Teil des Hirns einschreiten könne.

(Bild: stock.adobe.com)

Versuche in Firmen und Organisationen unterstreichen dies. Bei einem Experiment in einer Firma mit 30.000 Mitarbeitern in Asien zeigte sich: Mehr als ein Drittel der Mitarbeiter klickte auf den E-Mail-Köder, der ihnen zugeschickt wurde. Rechnet man jene heraus, die das Mail gar nicht aufgemacht haben, liegt die Quote bei 55 Prozent. Besser geschlagen habe sich eine Organisation mit 2000 Personen, von denen nur jeder zehnte den Körder schluckte. Grund war allerdings nicht unbedingt eine bessere Schulung, sondern der Umstand, dass E-Mails von außerhalb der Firma prominent mit dem Schriftzug „extern“ gekennzeichnet wurden.