Samas, Cerber, Surprise: Drei neue Ransomware-Varianten, die Sie kennen sollten

Die wöchentlichen Presseberichte der letzten Zeit über neue Ransomware-Varianten haben für eine „Markenbekanntheit“ gesorgt, die seriöse Anbieter von IT-Lösungen vor Neid erblassen lässt. Aufgrund der zunehmenden Beliebtheit von Ransomware ist...
Carl Groves
6 minute gelesen
Letzte aktualisierung 13. Oktober 2023

Die wöchentlichen Presseberichte der letzten Zeit über neue Ransomware-Varianten haben für eine „Markenbekanntheit“ gesorgt, die seriöse Anbieter von IT-Lösungen vor Neid erblassen lässt. Aufgrund der zunehmenden Beliebtheit von Ransomware ist die Unterscheidung der sich rasch entwickelnden Varianten schwierig geworden – wie man sich infiziert, was verschlüsselt wird, wie hoch das Lösegeld ist und welche neuen Features die jeweilige Variante aufweist.

Allen Varianten gemeinsam ist jedoch die Tatsache, dass Ransomware ein äußerst lukratives Geschäft für Cyber-Kriminelle geworden ist.

So wurde beispielsweise berichtet, dass Locky (eine Variante, die Daten auf lokalen Laufwerken und nicht zugeordneten Netzwerkfreigaben verschlüsselt) derzeit täglich 90.000 Systeme infiziert und jeweils etwa 400 US-Dollar Lösegeld fordert. Wenn nur 25 Prozent der Opfer zahlen, verdienen die Entwickler von Locky theoretisch fast zehn Millionen Dollar pro Tag! Alle Achtung!

Der Sicherheitsforscher Jerome Segura hat zudem festgestellt, dass Angreifer ihre Opfer genauer unter die Lupe nehmen und zum Beispiel den Nutzer identifizieren um herauszufinden ob sie ein höheres Lösegeld fordern können.1

Was lernen wir daraus? Eine eingehende Marktanalyse erweist sich auch im Malware-Geschäft als äußerst nützlich.

In puncto Prävention gibt es ein paar Dinge, die Sie tun können. Erstens sollten Sie in kurzen Abständen Backups Ihrer Daten erstellen. So müssen Sie nicht für die Entschlüsselung der Daten bezahlen.

Außerdem macht es Sinn sich damit zu beschäftigen, wie Sie Zero-Day-Ransomware-Angriffe mithilfe der Analyse des Nutzerverhaltens im Keim ersticken. Lawrence Abrams, Sicherheitsexperte und Gründer von Bleeping Computer, schrieb jüngst: „Die verhaltensbasierte Erkennung entwickelt sich gerade zur besten Methode, um Ransomware aufzuspüren und zu stoppen, denn die Signaturerkennung kann man heute leicht umgehen.“

Weitere Tipps finden Sie in unserem Ransomware-Leitfaden unter Abwehr von Ransomware-Angriffen.

Wenn Sie Kunde von Varonis DatAlert sind, dann melden Sie sich bei Varonis Connect an und lesen Sie unseren Ransomware Detection Guide: How to Detect, Arrest, Identify and Clean.

Hier möchte ich Ihnen drei aktuelle Ransomware-Varianten vorstellen, die Sie zu Präventions- und Abwehrzwecken auf dem Radar haben sollten:

  • Samas – verschlüsselt das gesamte Netzwerk von Unternehmen
  • Cerber – Ransomware-as-a-Service, verschlüsselt unzählige Dateitypen
  • Surprise – infizierte Rechner, auf denen TeamViewer v10.0.47484 installiert war

Ransomware Samas

  • Lösegeldforderung: Die Hacker sondieren derzeit den Markt und fordern zwischen 1 und 1,7 Bitcoins. Es wird auch eine „Flatrate“ angeboten: Betroffene Organisationen können alle infizierten Systeme für 22 Bitcoins (etwa 9.160 US-Dollar) entschlüsseln.2
  • Verschlüsselungsalgorithmus: RSA-Verschlüsselung (2.048 Bit)3
  • Infektionsweg: Beginnt mit einem Penetrationsangriff auf einen Server und sucht nach Netzwerken mit potenziellen Schwachstellen4
  • Betroffene Dateitypen: Versucht, das gesamte Netzwerk von Organisationen zu verschlüsseln
  • Weitere Informationen finden Sie hier.

Ransomware Cerber

  • Lösegeldforderung: 1,24 Bitcoins (etwa 500 US-Dollar)5
  • Verschlüsselungsalgorithmus: AES-256-Verschlüsselung6
  • Infektionsweg: Die Forscher sind bisher noch unsicher, auf welche Weise sich Cerber verbreitet. Sie wird jedoch als Ransomware-as-a-Service angeboten. Abonnenten können sie für Angriffe nutzen, und die Entwickler von Cerber erhalten eine Provision bei jeder Lösegeldzahlung.

    Übrigens wird Ihr Computer nicht angegriffen, wenn Sie in einem der folgenden Länder wohnen: Aserbaidschan, Armenien, Georgien, Weißrussland, Kirgisistan, Kasachstan, Moldawien, Turkmenistan, Tadschikistan, Russland, Usbekistan und Ukraine. Reiner Zufall? 7

    Nachdem Ihre Daten verschlüsselt wurden, erhalten Sie drei Dateien, die Sie darüber in Kenntnis setzen (.txt, .html und .vbs). Diese Dateien konvertieren die Lösegeldforderung in eine Audionachricht. Wie in einem schlechten Film spricht eine monotone, roboterähnliche Stimme: „Attention. Attention. Attention. Your documents, photos, databases and other important files have been encrypted!“ (Achtung. Achtung. Achtung. Ihre Dokumente, Fotos, Datenbanken und anderen wichtigen Dateien wurden verschlüsselt!)

  • Weitere Informationen finden Sie hier.
  • Betroffene Dateitypen: .contact, .dbx, .doc, .docx, .jnt, .jpg, .mapimail, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb, .3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .pspimage, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv, .gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bank, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibank, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .moneywell, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv 8

Ransomware Surprise

  • Lösegeldforderung: Zwischen 0,5 und 25 Bitcoins9. Bei Unternehmensnetzwerken mit vielen Rechnern wird deutlich mehr Lösegeld gefordert als bei einzelnen PCs.
  • Verschlüsselungsalgorithmus: Eine Mischung aus RSA-2048 und AES-25610
  • Infektionsweg: Gelangt über TeamViewer in Computersysteme. Eine Plattform mit mehr als einer Milliarde Nutzern verwendet diese Software für den Remote-Zugriff auf Computer, den technischen Support für Kunden, die Organisation von Meetings und die Kommunikation mit Partnern11. Surprise infizierte Rechner, auf denen TeamViewer v10.0.47484 installiert war.

    Wie bei Ransom32 wird eine Datei kostenlos entschlüsselt. So beweist der Angreifer dem Opfer, dass die Dateien tatsächlich entschlüsselt werden können, wenn das Lösegeld gezahlt wurde.

  • Weitere Informationen finden Sie hier.
  • Betroffene Dateitypen: .asf, .pdf, .xls, .docx, .xlsx, .mp3, .waw, .jpg, .jpeg, .txt, .rtf, .doc, .rar, .zip, .psd, .tif, .wma, .gif, .bmp, .ppt, .pptx, .docm, .xlsm, .pps, .ppsx, .ppd, .eps, .png, .ace, .djvu, .tar, .cdr, .max, .wmv, .avi, .wav, .mp4, .pdd, .php, .aac, .ac3, .amf, .amr, .dwg, .dxf, .accdb, .mod, .tax2013, .tax2014, .oga, .ogg, .pbf, .ra, .raw, .saf, .val, .wave, .wow, .wpk, .3g2, .3gp, .3gp2, .3mm, .amx, .avs, .bik, .dir, .divx, .dvx, .evo, .flv, .qtq, .tch, .rts, .rum, .rv, .scn, .srt, .stx, .svi, .swf, .trp, .vdo, .wm, .wmd, .wmmp, .wmx, .wvx, .xvid, .3d, .3d4, .3df8, .pbs, .adi, .ais, .amu, .arr, .bmc, .bmf, .cag, .cam, .dng, .ink, .jif, .jiff, .jpc, .jpf, .jpw, .mag, .mic, .mip, .msp, .nav, .ncd, .odc, .odi, .opf, .qif, .xwd, .abw, .act, .adt, .aim, .ans, .asc, .ase, .bdp, .bdr, .bib, .boc, .crd, .diz, .dot, .dotm, .dotx, .dvi, .dxe, .mlx, .err, .euc, .faq, .fdr, .fds, .gthr, .idx, .kwd, .lp2, .ltr, .man, .mbox, .msg, .nfo, .now, .odm, .oft, .pwi, .rng, .rtx, .run, .ssa, .text, .unx, .wbk, .wsh, .7z, .arc, .ari, .arj, .car, .cbr, .cbz, .gz, .gzig, .jgz, .pak, .pcv, .puz, .rev, .sdn, .sen, .sfs, .sfx, .sh, .shar, .shr, .sqx, .tbz2, .tg, .tlz, .vsi, .wad, .war, .xpi, .z02, .z04, .zap, .zipx, .zoo, .ipa, .isu, .jar, .js, .udf, .adr, .ap, .aro, .asa, .ascx, .ashx, .asmx, .asp, .indd, .asr, .qbb, .bml, .cer, .cms, .crt, .dap, .htm, .moz, .svr, .url, .wdgt, .abk, .bic, .big, .blp, .bsp, .cgf, .chk, .col, .cty, .dem, .elf, .ff, .gam, .grf, .h3m, .h4r, .iwd, .ldb, .lgp, .lvl, .map, .md3, .mdl, .nds, .pbp, .ppf, .pwf, .pxp, .sad, .sav, .scm, .scx, .sdt, .spr, .sud, .uax, .umx, .unr, .uop, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vmf, .vtf, .w3g, .w3x, .wtd, .wtf, .ccd, .cd, .cso, .disk, .dmg, .dvd, .fcd, .flp, .img, .isz, .mdf, .mds, .nrg, .nri, .vcd, .vhd, .snp, .bkf, .ade, .adpb, .dic, .cch, .ctt, .dal, .ddc, .ddcx, .dex, .dif, .dii, .itdb, .itl, .kmz, .lcd, .lcf, .mbx, .mdn, .odf, .odp, .ods, .pab, .pkb, .pkh, .pot, .potx, .pptm, .psa, .qdf, .qel, .rgn, .rrt, .rsw, .rte, .sdb, .sdc, .sds, .sql, .stt, .tcx, .thmx, .txd, .txf, .upoi, .vmt, .wks, .wmdb, .xl, .xlc, .xlr, .xlsb, .xltx, .ltm, .xlwx, .mcd, .cap, .cc, .cod, .cp, .cpp, .cs, .csi, .dcp, .dcu, .dev, .dob, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .eql, .ex, .f90, .fla, .for, .fpp, .jav, .java, .lbi, .owl, .pl, .plc, .pli, .pm, .res, .rsrc, .so, .swd, .tpu, .tpx, .tu, .tur, .vc, .yab, .aip, .amxx, .ape, .api, .mxp, .oxt, .qpx, .qtr, .xla, .xlam, .xll, .xlv, .xpt, .cfg, .cwf, .dbb, .slt, .bp2, .bp3, .bpl, .clr, .dbx, .jc, .potm, .ppsm, .prc, .prt, .shw, .std, .ver, .wpl, .xlm, .yps, .1cd, .bck, .html, .bak, .odt, .pst, .log, .mpg, .mpeg, .odb, .wps, .xlk, .mdb, .dxg, .wpd, .wb2, .dbf, .ai, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .pem, .pfx, .p12, .p7b, .p7c, .jfif, .exif, .rar

1 http://www.scmagazine.com/dark-web-forums-found-offering-cerber-ransomware-as-a-service/article/483101/
2 http://www.scmagazine.com/researchers-detect-surge-in-samsam-ransomware-that-spreads-via-vulnerabilities/article/485330/
3 http://www.scmagazine.com/researchers-detect-surge-in-samsam-ransomware-that-spreads-via-vulnerabilities/article/485330/
4 https://blogs.technet.microsoft.com/mmpc/2016/03/17/no-mas-samas-whats-in-this-ransomwares-modus-operandi/
5 http://www.bleepingcomputer.com/news/security/the-cerber-ransomware-not-only-encrypts-your-data-but-also-speaks-to-you/
6 http://www.pcworld.com/article/3040750/cerber-ransomware-sold-as-a-service-speaks-to-victims.html
7 http://www.bleepingcomputer.com/news/security/the-cerber-ransomware-not-only-encrypts-your-data-but-also-speaks-to-you/
8 http://www.bleepingcomputer.com/news/security/the-cerber-ransomware-not-only-encrypts-your-data-but-also-speaks-to-you/
9 http://privacy-pc.com/news/hackers-use-teamviewer.html
10 http://privacy-pc.com/news/hackers-use-teamviewer.html
11 http://privacy-pc.com/news/hackers-use-teamviewer.html

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

ransomware-–-teil-3,-was-tun,-wenn-es-bereits-passiert-ist
Ransomware – Teil 3, Was tun, wenn es bereits passiert ist
Ransomware – Ein Leitfaden in vier Teilen. Teil 1, Ransomware, zahlen oder nicht zahlen? Und was Bitcoins damit zu tun haben Teil 2, Die wichtigsten Typen von Ransomware und welche…
ransomware-–-teil-2,-die-wichtigsten-typen-von-ransomware-und-welche-art-von-verschlüsselung-sie-benutzen
Ransomware – Teil 2, Die wichtigsten Typen von Ransomware und welche Art von Verschlüsselung sie benutzen
Ransomware – Ein Leitfaden in vier Teilen. Teil 1, Ransomware, zahlen oder nicht zahlen? Und was Bitcoins damit zu tun haben Teil 2, Die wichtigsten Typen von Ransomware und welche...
ransomware-–-ein-leitfaden-in-vier-teilen.-teil-1,-ransomware,-zahlen-oder-nicht-zahlen?-und-was-bitcoins-damit-zu-tun-haben
Ransomware – Ein Leitfaden in vier Teilen. Teil 1, Ransomware, zahlen oder nicht zahlen? Und was Bitcoins damit zu tun haben
Ransomware – Ein Leitfaden in vier Teilen. Teil 1, Ransomware, zahlen oder nicht zahlen? Und was Bitcoins damit zu tun haben Teil 2, Die wichtigsten Typen von Ransomware und welche...
ultimativer-ransomware-leitfaden:-arten-und-definitionen-von-ransomware-angriffen
Ultimativer Ransomware-Leitfaden: Arten und Definitionen von Ransomware-Angriffen
Ransomware-Angriffe können zu einem erheblichen Verlust von Daten, Systemfunktionen und finanziellen Ressourcen führen. Aber was genau ist Ransomware? Ransomware kann eine Vielzahl von Formen annehmen. Außerdem entwickeln sich Angreifer ständig...