Sophos analysierte komplexe Bedrohung
Die SamSam-Erpressungssoftware erweist sich als besonders gründliches Verschlüsselungswerkzeug, das nicht nur Arbeitsdateien unbenutzbar machen kann, sondern auch Programme, die für den Betrieb eines Windows-Computers nicht essentiell sind und von denen die meisten daher nicht routinemäßig gesichert werden, wie computerwelt.at dazu ausführte.
Die von Sophos nun veröffentlichte Studie hat das Ziel, das Wesen dieser komplexen Bedrohung besser zu verstehen. Die Ergebnisse wurden in einem ausführlichen Whitepaper dargestellt.
Die wichtigsten Ergebnisse
- Der Studie zufolge waren die USA mit 74 Prozent der nachgewiesenen Angriffe das Hauptziel. In Europa sind vor allem das Vereinigte Königreich und Belgien betroffen, weitere Angriffe gab es in den Niederlanden, Estland und Dänemark. Ebenfalls angegriffen wurden Ziele in den Vereinigte Arabische Emirate (VAE), in Indien sowie in Australien.
- Die Angriffe erfolgen meist zwischen 21.00 Uhr abends und 3.00 Uhr morgens und sind von einer wachsenden Professionalität geprägt, was das Umgehen von Sicherheitskomponenten und das Verwischen von Spuren betrifft.
- Es ist nicht nachweisbar, ob es sich bei dem Kopf hinter SamSam um eine einzelne männliche oder weibliche Person handelt oder um eine Gruppe von Cyberkriminellen.
- Sophos hat berechnet, dass SamSam seit erstmaligem Erscheinen im Jahre 2015 mehr als 5,9 Millionen US-Dollar erpressen konnte. Sophos schätzt außerdem, dass der (oder die) SamSam-Angreifer im Jahr 2018 durchschnittlich 300.000 US-Dollar pro Monat eingenommen hat. Das höchste bisher an SamSam gezahlte Lösegeld betrug 64.478 US-Dollar.
Manuell gesteuerte, gezielte Angriffe nach Feierabend
Laut Sophos ist jeder Angriff ein manueller, gezielter Einbruch in ein zuvor sorgfältig als Ziel ausgewähltes Netzwerk. Sophos vermutet, dass viele Angriffe mit einer Remote-Desktop-Kompromittierung eines Gerätes im Netzwerk beginnen. Sobald die Malware das interne Netzwerk durchsucht und eine Liste potentieller Angriffsziele erstellt hat, warten die (oder der) SamSam-Angreifer entsprechend der Zeitzone des Opfers, bevor der eigentliche Angriff startet: spät abends und nachts, wenn Benutzer und Administratoren längst Feierabend haben, wird die Malware verteilt und mit der Verschlüsselung der infizierten Computer begonnen.
Dieses Timing verbessert die Erfolgschancen des Angriffs immens. Zudem erweist sich die Cyberkriminellen-Seite überraschend geschickt darin, viele Sicherheitswerkzeuge zu umgehen. Wenn etwa der Prozess der erpresserischen Verschlüsselung von Daten unterbrochen wird, löscht die Malware sofort alle Spuren von sich selbst, um eine nachträgliche Untersuchung zu behindern.
Die Opfer schweigen
Wie weiter dazu verlautete, haben eine Reihe von Organisationen des mittleren und großen öffentlichen Sektors aus den Bereichen Gesundheit, Bildung und Regierung Angriffe durch SamSam offengelegt. Regierungsorganisationen haben dabei zu 100 Prozent die erlittenen Angriffe gemeldet. Von den betroffenen Organisationen der Gesundheitswirtschaft gingen 79 Prozent an die Öffentlichkeit ebenso wie 38 Prozent der betroffenen Bildungseinrichtungen. Insgesamt umfassen die Organisationen, die einen Angriff öffentlich bekannt gaben, nur 37 Prozent der von Sophos im Rahmen der Langzeitstudie identifizierten SamSam-Opfer.
Sophos glaubt, dass es hunderte weitere Opfer geben könnte, die keine öffentliche Erklärung abgegeben haben. So hat bisher hat kein Unternehmen anderer Branchen oder des Privatsektors irgendeine öffentliche Erklärung abgegeben, die einen SamSam-Angriff bestätigt – die Studie legt jedoch nahe, dass es diese gegeben hat.
Weiterführende Links:
computerwelt.at: SamSam Ransomware erpresste 5,9 Mio US-Dollar in zweieinhalb Jahren
