Sodinokibi: Ransomware as a Service
Erinnert ihr euch noch an den Erpresser-Wurm WannaCry? Im Frühsommer 2017 legte diese Schadsoftware viele Unternehmen lahm. Die nächste Evolutionsstufe heißt Ransomware as a Service. Bei Sodinokibi arbeiten die besten Entwickler mit den besten Schadsoftware-Verteilern zusammen.
Die neueste Bedrohung hat den sperrigen Namen Sodinokibi (oder auch REvil) und wurde von McAfees Advanced Threat Research Team analysiert. Im Rahmen der hauseigenen Konferenz MPOWER konnten wir Raj Samani, Chief Scientist bei McAfee, zu aktuellen Erkenntnissen befragen.
Ransomware ist eine Schadsoftware, die meist über Phishing-Mails verbreitet wird. Einmal auf dem Computer verschlüsselt diese Daten und verlangt vom Nutzer ein Lösegeld. Im Fall von Sodinokibi verlangen die Erpresser den Besuch einer Webseite im Darkweb und dort die Zahlung von 2.500 US-Dollar (für Kurzentschlossene) beziehungsweise 5.000 US-Dollar (für zögerliche Zahler).
Umsatzbeteiligung: Affiliates als Vertreiber von Sodinokibi
Wie schon vorher bei GandCrab nutzen auch die Sodinokibi-Entwickler ein Affiliate-System, um die Ransomware zu verbreiten. Experten nennen das RaaS - Ransomware as a Service. Dabei erlaubt der Entwickler gegen eine Umsatzbeteiligung von üblicherweise 30 bis 40 Prozent den "Affiliates" den Code zu nutzen und Geld damit zu verdienen. Die Verteilung der Schadsoftware übernehmen dafür die Affiliates.
McAfee hatte das Affiliate-System des (offensichtlichen) Vorgänger GandCrab analysiert und festgestellt, dass es etwa 300 mehr oder weniger aktive Verbreiter der Schadsoftware gab. Jeder Affiliate hatte eine eindeutige ID und obwohl McAfee noch nicht in der Lage war zu erkennen, wer hinter einer einzelnen ID steht, konnte eine Gruppe von besonders aktiven Verbreitern ausgemacht werden. McAfee nennt sie das "All-Star-Team".
In der finalen Version 5.2 von GandCrab waren diese auf einmal verschwunden. Gleichzeitig, im Juli 2019, wurde ein neues Affiliate-System in einschlägigen Untergrund-Foren vorgestellt: Sodinokibi. Auch hier versprachen die Betreiber 60 bis 70 Prozent der Umsätze dem Affiliate-Partner. Allerdings sind die Plätze limitiert, man werde sich ausschließlich auf die besten Affiliates konzentrieren.
"Das macht Sodinokibi besonders gefährlich", erklärt uns Samani. "Bei WannaCry hat jemand die Schrotflinte ins Internet gehalten. Bei Sodinokibi arbeiten die besten Affiliates sehr präzise und suchen Ziele, die Geld haben."
Dabei werden längst nicht mehr nur Phishing-Mails verschickt. Im Fall von GandCrab wurden gezielt Oracle-Systeme angegriffen (Inzwischen gibt es einen Patch von Oracle). Im September wurde bekannt, dass Sodinokibi über infizierte Wordpress-Webseiten verteilt wurde, die dem Nutzer vorgaukeln, dass es sich um ein Forum handelt. Die verlinkte Datei des angeblichen Webseitenbetreibers linkt dann auf die Ransomware.
Einige Länder als Ziel ausgeschlossen
Eine weitere Regel gibt es für Affiliates: In den Ländern der GUS und in der Ukraine darf Sodinokibi nicht verbreitet werden. Dafür hat die Ransomware sogar eine Blacklist im Quellcode, eine Liste an Sprachen. Ist eine der Sprachen als Tastaturbelegung aktiv, wird sie nicht ausgeführt. Unter den aufgeführten Sprachen sind Russisch, baltische Sprachen, Persisch, aber auch Syrisch inklusive der arabischen Variante.
Bei McAfee sieht man nicht nur Parallelen in den Top-Affiliates, sondern auch im Code an sich. Nach einer Analyse stellen die Experten von ATR fest, dass 40 Prozent des Codes identisch waren. Da nun die selben Verteiler aktiv sind, dürfte sich auch die Taktik zur Verbreitung wiederholen.
Samani warnt davor, diese Gegner zu unterschätzen. "Cybercrime ist organisiertes Verbrechen. Da geht es um hunderte Millionen von US-Dollar." Einmal, so erzählt er netzwelt im Gespräch, haben die Experten aus seinem Team die Geldbewegungen einer Ransomware verfolgt. In mehreren Bitcoin Wallets waren über 1,1 Milliarden US-Dollar geparkt. "Die Gruppen sind gut organisiert, es gibt Entwickler, Distributor, Geldwäscher und wenn es sein muss Spezialisten für jeden Zweck.“ Allein in China sollen über 400.000 Cyberkriminelle ihr täglich Brot mit Ransomware und Co. verdienen. Das ist weit weg vom romantischen Bild des Fastfood essenden Hackers mit Kapuzenpulli im Keller der Eltern.
Die Analyse des ATR-Teams dauert aktuell noch an. Am 14. Oktober wird es die dritte Veröffentlichung dazu geben. In dieser, soviel verrät Samani schon, sei das Team der Spur des Geldes gefolgt.
Prävention: So schützt ihr euch vor Ransomware
Vor einigen Jahren haben Samani und einige Kollegen aus Industrie und Strafverfolgungsbehörde die Initiative "nomoreransom.org" ins Leben gerufen, eine Webseite die Betroffenen hilft. Noch wichtiger ist aber die Prävention. "Mit wenigen Schritten kann man einen Ransomware-Angriff verhindern", sagt Samani und zitiert die Webseite des Projekts:
- Datensicherung! Datensicherung! Datensicherung! Sichert eure Daten in einer Cloud mit automatischer Sicherung und zusätzlich auf einem Datenträger wie einem USB-Stick oder einer externen Festplatte.
- Verwendet eine robuste Antivirensoftware und lasst die "heuristischen Funktionen" aktiviert.
- Haltet eure Software auf dem Computer immer auf dem neustem Stand.
- Traut niemandem. Buchstäblich. Potenziell jede Mail von einem Freund mit Anhang kann eine Ransomware im Gepäck haben. Zudem nutzen Cyberkriminelle oft gefälschte E-Mail-Nachrichten, die wie E-Mail-Benachrichtigungen von einem Online-Shop, einer Bank, der Polizei, einem Gericht oder einer Steuerbehörde aussehen. Klicke die Links nicht an und öffne auch nicht den Anhang.
- Aktiviert die Option "Dateierweiterungen anzeigen" (Anleitung) in den Windows-Einstellungen auf eurem Computer.
- Trennt den Computer von Stromnetz und Internet sollte euch etwas ungewöhnliches auffallen.
Netzwelt-Tipps zum Schutz vor Ransomware
Was aber sollen Betroffene tun?
Nomoreransom.org empfiehlt, keine Zahlung zu leisten. Zum einen kann nicht garantiert werden, dass die Dateien danach wieder entschlüsselt werden, zum anderen kann die Geldzahlung aus irgendwelchen Gründen scheitern. Eine Zahlung könnte Cyberkriminelle ermutigen, weiter zu machen, da die Software offensichtlich funktioniert. In jedem Fall sollten die lokalen Behörden informiert werden.
» Tipp: Die besten VPN-Anbieter für mehr Sicherheit und Datenschutz
Nichts verpassen mit dem NETZWELT-Newsletter
Jeden Freitag: Die informativste und kurzweiligste Zusammenfassung aus der Welt der Technik!
