Die Malware-Familie „SamSa greift an
Es sind verschiedene Security-Hersteller wie Cisco, Intel Security, Microsoft oder Palo Alto, die im Rahmen von Malware-Analysen diesen neuen Trend festgestellt haben. Im Gegensatz zur bisherigen Taktik, mittels breit gestreuter Angriffe über Phishing-Mails oder Exploit-Kits Ransomware zu verbreiten, wird nun eine zielgenaue Taktik angewandt.
Zuerst wird ein Zugang zum Unternehmensnetzwerk geschaffen. Dazu bedienen sich die Angreifer einer Malware-Familie, die als „SamSa“, „Samas“, „samsam“ oder „Mokoponi“ bekannt ist. Ist der Netzwerkzugang vorhanden, wird die Malware manuell installiert. Vorher wird das Netzwerk auf weitere anfällige Systeme untersucht. Danach startet die Verschlüsselung.
Ransomware löscht auch Backups
Die Malware hat aber nicht nur die Verschlüsselung des PCs im Sinn, sie versucht auch Backups zu löschen oder zu verschlüsseln. Daneben werden auch Schattenkopien nach der Verschlüsselung via vssadmin.exe gelöscht. Am Ende der Angriffs-Kette steht, wie immer, eine Lösegeldforderung für die Entschlüsselung der Systeme.
Die neuartigen gezielten Ransomware-Attacken wurden laut Microsoft bisher hauptsächlich in den USA beobachtet. In Europa soll es einzelne SamSa-Infektionen gegeben haben. Das Lösegeld liegt bei bis zu 1,5 Bitcoins pro PC. Das entspricht rund 550 Euro.
