Für „Infektionshilfe“

Hacker ködern Firmen-Insider mit Millionenangebot

Um Firmennetzwerke mit Ransomware zu infizieren, Daten zu verschlüsseln und anschließend hohe Lösegeldforderungen zu stellen, setzen Hinterleute solcher Cyberattacken immer öfter auf Insider. Eine Ransomware-Gruppe aus Nigeria bietet Mitarbeitern ihrer Zielunternehmen sogar eine Million US-Dollar in Form von Bitcoins, wenn sie die Kriminellen bei der Installation der Schadsoftware unterstützen.

Die Hackergruppe hinter der Ransomware „Black Kingdom“ - in IT-Security-Kreisen auch als „DemonWare“ oder „DEMON“ bekannt - verspricht Mitarbeitern ihrer Ziele eine Beteiligung, wenn diese ihr bei der Installation der Ransomware behilflich sind. Das berichtet „The Hacker News“ unter Berufung auf den IT-Sicherheitsdienstleister Abnormal Security, der E-Mails der Hacker abgefangen hat und zum Schein auf ihr Angebot eingegangen ist.

Der Absender verspricht dem Mitarbeiter, dass er eine Million US-Dollar in Bitcoin oder 40 Prozent der verlangten 2,5 Millionen US-Dollar Lösegeld bekommt.

Warnung von Abnormal Security

„Der Absender verspricht dem Mitarbeiter, dass er eine Million US-Dollar in Bitcoin oder 40 Prozent der verlangten 2,5 Millionen US-Dollar Lösegeld bekommt“, warnen die Experten. „Den Mitarbeitern wird gesagt, dass sie die Ransomware vor Ort oder per Fernzugriff einschleusen können. Die Absender bieten zwei Kontaktmöglichkeiten an - entweder eine Outlook-Adresse oder einen Telegram-Nutzernamen.“

Zum Schein gingen die Sicherheitsforscher auf das Angebot ein und verwickelten ein Mitglied der Hackergruppe in einen Telegram-Chat. Dieses erklärte ihnen prompt, wie seine Organisation vorgeht, und schickte ihnen Download-Links für die Ransomware, die der vermeintliche Mitarbeiter ins Firmennetz einschleusen sollte. Ihre Zielpersonen wählen die Kriminellen vor der Kontaktaufnahme über das „Business-Facebook“ LinkedIn aus.

Sie sagten uns, wir sollten die .exe-Datei später entsorgen und auch den Papierkorb leeren.

Crane Hassold von Abnormal Security

„Sie sagten uns auch, wir sollten die .exe-Datei später entsorgen und auch den Papierkorb leeren“, sagt Crane Hassold von Abnormal Security. Das lege nahe, dass die Hackergruppe nicht vertraut mit digitaler Forensik sei: Solche Verschleierungsmethoden seien leicht zu durchschauen.

Anführer der Hacker will „nächster Mark Zuckerberg“ werden
Angeführt werden soll die Hackergruppe in Nigeria von einem Manager eines lokalen Social-Networking-Start-ups. Dieser wolle mit der Beute aus den Ransomware-Attacken „seine eigene Firma gründen“ und verkaufe sich in Chats als „nächster Mark Zuckerberg“, berichten die Sicherheitsforscher, nachdem sie mehrere Tage mit dem Cyberkriminellen gechattet hatten. 

Tim Erlin, IT-Security-Experte beim US-Anbieter Tripwire: „Es gab immer schon eine verschwommene Grenze zwischen Cyberattacken und Social Engineering, und dies ist ein Beispiel dafür, wie beides verflochten wird.“ Da Unternehmen ihre Mitarbeiter immer besser darin schulen, Betrugsversuche wie Phishing zu erkennen, verfeinern die Cyberkriminellen ihre Methoden. Dass sie dabei auf möglicherweise frustrierte Mitarbeiter eines Unternehmens als Einfallstor setzen, überrasche nicht.

So lange eine Organisation Mitarbeiter hat, wird es immer das Risiko eines Insiders geben.

Tim Erlin, Tripwire Cybersecurity

Erlin: „So lange eine Organisation Mitarbeiter hat, wird es immer das Risiko eines Insiders geben.“ Dabei seien diese aber meist auch nur ein Mittel zum Zweck. „Es gibt eigentlich keine Garantie, dass so eine Komplizenschaft tatsächlich belohnt wird. Außerdem ist es höchst wahrscheinlich, dass jemand, der auf so ein Angebot eingeht, erwischt wird.“