Weshalb geben Cyberkriminelle Wiper-Malware als Ransomware aus?

Es ist wieder einmal eine neue Spam-Masche im Umlauf. Mit angeblichen Bewerbungen von einer Eva Richter wird versucht, die Malware „Ordinypt“ zu verbreiten.

Der Schädling sieht aus wie eine Ransomware, bietet aber keine Funktionen, damit Anwender ihre Dateien wiederherstellen können. Stattdessen werden die Daten schlicht überschrieben und dadurch dauerhaft beschädigt. Aufgrund dieser zerstörerischen Vorgehensweise gibt es für die Opfer keinen Anreiz, das Lösegeld zu bezahlen. Wozu das Ganze also?

Wie funktioniert die Ordinypt-Spamkampagne?

Bei der Ordinypt-Spamkampagne werden E-Mails verschickt, die angeblich eine Stellenbewerbung von einer „Eva Richter“ sind. Im Betreff steht meistens so etwas wie „Bewerbung via Arbeitsagentur – Eva Richter“.

Der Text in der E-Mail lautet:

Sehr geehrte Damen und Herren,

hiermit bewerbe mich auf die von Ihnen bei der Arbeitsagentur angebotene Stelle.

Das von Ihnen beschriebene Tätigkeitsfeld entspricht in besonderem Maße meinen beruflichen Perspektiven. Meine Bewerbungsunterlagen finden Sie im Anhang.

Über eine Einladung zu einem persönlichen Vorstellungsgespräch würde ich mich sehr freuen.

Mit freundlichen Grüßen

Eva Richter

Die E-Mail enthält im Anhang eine ZIP-Datei mit dem vorgeblichen Lebenslauf von Frau Richter. Die entpackte Datei hat den Namen „Eva Richter Bewerbung und Lebenslauf.pdf.exe“. Beim Öffnen der Datei wird die Ordinypt-Malware ausgeführt, die dann scheinbar die Dateien des Opfers verschlüsselt und eine Endung an die „verschlüsselten“ Dateien anhängt.

Ist der Vorgang abgeschlossen, wird eine Lösegeldforderung (auf Englisch) erstellt. Darin werden die Opfer aufgefordert, über eine Tor-Seite für einen Decrypter zu bezahlen, mit dem sie die Dateien angeblich wiederherstellen können. In den von BleepingComputer gesehenen Beispielen lag die Lösegeldforderung bei 0,145 BTC (also ungefähr 1 100 EUR).

============================ WILLKOMMEN ===================== ===================== LÖSCHEN SIE DIESE DATEI NICHT, BIS ALLE IHRE DATEN WIEDERHERGESTELLT WURDEN! ==============

Alle Ihre Dateien wurden verschlüsselt und haben jetzt die Dateiendung: .MyyqA

Die einzige Möglichkeit, um Ihre Dateien wiederherzustellen ist, unsere Decrypter-Software zu kaufen, die nur auf Ihrem PC funktioniert.

Für weitere Anweisungen, wie Sie Ihre Dateien entschlüsseln können, laden Sie sich den TOR-Browser herunter.

========================================================

1. Laden Sie den Tor-Browser herunter unter: https://www.torproject.org

2. Installieren und starten Sie den TOR-Browser.

3. Rufen Sie folgende URL auf: http://2u6gynsdszbd7ey3.onion/

4. Geben Sie Ihren Zugangscode ein.

Ihr Zugangscode:

xxx

Kopieren Sie ihn in das Zugangscodefeld.

========================================================

Warnung:

ÄNDERN SIE KEINE DER VERSCHLÜSSELTEN DATEIEN UND VERSUCHEN SIE AUCH NICHT, SIE SELBST ZU ENTSCHLÜSSELN.

DADURCH RISKIEREN SIE, DIE DATEIEN ZU BESCHÄDIGEN UND FÜR IMMER ZU VERLIEREN!

Von der Verschlüsselung bis hin zur Lösegeldforderung zeigt Ordinypt sämtliche Eigenschaften einer typischen Ransomware. Das ist jedoch nur eine Tarnung. Bei dem Schädling handelt es sich eigentlich um einen sogenannten Wiper (vom engl. Verb „wipe (out)“ für löschen oder vernichten) – also eine Malware, die die Dateien des Opfers zerstören soll. Die von Ordinypt „verschlüsselten“ Dateien können nicht wiederhergestellt werden. Sollten Sie also Opfer der Malware werden, bezahlen Sie keinesfalls das Lösegeld. Sie werden Ihre Dateien nicht wieder entschlüsseln können.

Die von Ordinypt „verschlüsselten“ Dateien können nicht wiederhergestellt werden. Sollten Sie also Opfer der Malware werden, bezahlen Sie keinesfalls das Lösegeld. Sie werden Ihre Dateien nicht wieder entschlüsseln können.

Was ist der Sinn und Zweck?

Ordinypt ist nicht die einzige Wiper-Malware, die sich in letzter Zeit als Ransomware ausgibt. Anfang August 2019 bereitete GermanWiper deutschen Unternehmen Kopfschmerzen, indem sie Lösegeld forderte, obwohl sie die Daten der Benutzer zerstört hatte. Zerstörerische Schadsoftware scheint allerdings generell immer häufiger aufzutreten. Beobachtungen des X-Force Incident Response and Intelligence Services Teams von IBM zufolge gab es zwischen dem zweiten Halbjahr von 2018 und dem ersten Halbjahr von 2019 bei den Fällen mit zerstörerischer Malware einen Anstieg um 200 %.

Was erhoffen sich die Cyberkriminellen davon, Ihre Malware als Ransomware auszugeben?

Die finanzielle Seite

Es geht höchstwahrscheinlich nicht um Geld. Viele Ransomware-Versionen verfügen zwar über eine Wiper-Komponente, doch diese dient lediglich als zusätzliches Druckmittel, um den Opfern ihre missliche Lage weiter zu verdeutlichen. Die Drohung, die Dateien dauerhaft zu vernichten, ist für Ransomware-Opfer ein starker Anreiz, das Lösegeld zu bezahlen, und bringt den Kriminellen folglich mehr Geld. Für diese Gauner liegt das Hauptziel nicht in blinder Zerstörung, sondern im finanziellen Gewinn. Hier sind Wiper-Komponenten also nur ein Mittel zum Zweck.

Bei Ordinypt ist die Motivation nicht ganz so eindeutig. Allerdings spielt Geld dabei höchstwahrscheinlich eine eher untergeordnete Rolle. Ransomware ist so profitabel, weil die Kriminellen in vielen Fällen ihr Versprechen halten und den Opfern nach Zahlung des Lösegeldes auch den Decrypter schicken, damit diese Ihre Dateien wieder entschlüsseln können. Bei Ordinypt oder anderen als Ransomware getarnten Wipern ist das nicht unbedingt der Fall. Sobald die Opfer wissen, dass Sie Ihre Dateien höchstwahrscheinlich nie wiederbekommen werden, haben sie keinerlei Anlass mehr, die Lösegeldzahlung auch nur in Erwägung zu ziehen.

Wirtschaftlicher Störfaktor

Mitunter werden Wiper als Ransomware getarnt, um in der Wirtschaft für weitreichende Störungen zu sorgen. 2017 wurde nach einer Reihe medienwirksamer Ransomware-Angriffe NotPetya auf die Welt losgelassen.

Anfangs schien es sich dabei nur um eine weitere Ransomware zu handeln, die so viel Geld wie möglich einbringen sollte. Sicherheitsforscher stellten aber schnell fest, dass hier etwas nicht stimmte. Das eher rudimentäre Zahlungs- und Kommunikationssystem zeigte, dass NotPetya nie als langfristige Einnahmequelle gedacht war.

Viele Sicherheitsexperten glauben, dass es sich bei NotPetya stattdessen um eine als Ransomware getarnte zerstörerische Malware handelte, die von russischen militärischen Hackern entwickelt wurde, um in der Ukraine im Rahmen des laufenden Konflikts das Finanzsystem weiter zu destabilisieren. NotPetya hat insgesamt ungefähr 10 000 USD an Lösegeld eingebracht, aber in der Wirtschaft Schäden in Höhe von über einer Milliarde USD angerichtet.

Tarnung des Angriffs

Fabian Wosar, CTO von Emsisoft, hat eine weitere Theorie: Er glaubt, dass die aktuellen Wiper-Angriffe ein bestimmtes Ziel treffen sollen, allerdings als umfangreiche Spamkampagnen verbreitet werden, um die Identität des eigentlich anvisierten Opfers zu verbergen und folglich auch die Identität des Angreifers.

Es würde beispielsweise sehr verdächtig aussehen, wenn ein verärgerter ehemaliger Angestellter einen Einzelangriff auf das Unternehmen durchführt, dass ihn kürzlich entlassen hat. Schickt er seine Schadsoftware jedoch in Form eines Ransomware-Angriffs an Zehntausende Unternehmen, wird es für Strafverfolgungsbehörden erheblich schwieriger, den möglichen Täter auszumachen.

Ähnlich könnten Cyberkriminelle vorgehen, um mithilfe von Spamkampagnen ihr wahres Ziel und damit auch ihre eigene Identität zu verschleiern.

Vorbeugen von Wiper-Angriffen

Unabhängig davon, was auch immer die Motivation hinter diesen als Ransomware getarnten Angriffen sein möge, sind und bleiben zerstörerische Malwares eine ernst zu nehmende Gefahr für Unternehmen weltweit. Eine robuste Antivirenlösung, regelmäßige Mitarbeiterschulungen und eine umfassende Strategie zur Notfallwiederherstellung sind daher für jedes Unternehmen unerlässlich, um Störungen oder Ausfälle durch Malware so gut wie möglich vorzubeugen.

Übersetzung: Doreen Schäfer