Die Ransomware Yanluowang läutet eine neue Ära der Erpessertrojaner ein. IT-Sicherheitsexperten gehen davon aus, dass die gefährliche Malware die (Unternehmens-)Welt noch lange in Atem halten wird.
Wie der Yanluowang-Erpressertrojaner im Detail funktioniert und was alles noch auf Unternehmen zukommen kann, verraten wir jetzt.
Yanluowang-Ransomware greift gezielt Unternehmen an
Der Erpressertrojaner mit dem klangvollen Namen Yanluowang ist noch relativ jung, weist aber ein Potenzial auf, dass seinesgleichen sucht. Während die ersten Angriffe mit der neuartigen Ransomware vor ziemlich genau einem Jahr erfolgten, scheint es nun so richtig loszugehen.
Yanluowang ist dabei international unterwegs. Unternehmen aus Ländern wie den USA, Deutschland, China, der Türkei und Brasilien zählen bereits zu den Opfern. Der Grund, warum Security-Experten nun vermehrt Alarm schlagen, ist, dass der Trojaner den bisherigen Analysen zufolge über eine Vielzahl von perfiden Funktionen verfügt. Und die meisten davon sind bislang noch nicht einmal zum Einsatz gekommen. Die Bedrohung ist daher größer als ursprünglich gedacht und es bleibt abzuwarten, in welcher Dimension Yanluowang Schäden anrichtet, wenn die Entwicklungsphase erst einmal komplett abgeschlossen ist.
Die Bedrohung durch die Yanluowang Ransomware steigt. Bild: Pexels/Mati Mango
Neuer Erpressertrojaner nutzt Voice-Phishing
Anders als viele andere Vertreter seiner Kategorie, findet das mittlerweile klassische Ransomware-as-a-Service-Prinzip keine Anwendung. Stattdessen fußt der Erfolg der fiesen Malware über das so genannte Voice-Phishing, einer modernen Form des Social-Engineerings.
Kurz zur Erklärung: Bei dieser Methode kommen innovative Technologien aus den Bereichen Deep Learning und KI zum Einsatz. So lassen sich beispielsweise die Stimmen von Vorgesetzten perfekt nachbilden. Mitarbeiter, die dann einen derartigen Fake-Anruf erhalten, haben nahezu keine Chance zu erkennen, dass es sich beim Anrufer in Wahrheit nicht um ihren Chef, sondern um einen Computer bzw. einen Hacker mit Stimmverzerrer handelt. Und der brave Angestellte folgt dann natürlich den Anweisungen des Vorgesetzten – selbst wenn er sich über selbige etwas wundert.
Die neue Ransomware-Generation zeigt demnach gut, auf welche neuen Methoden und Maschen sich Unternehmen in Zukunft einstellen müssen. Die Hacker und Cyberkriminellen arbeiten mit immer besseren Tricks, um ihre Ziele zu erreichen. Und das „Sicherheitsrisiko Mensch“ spielt nach wie vor eine große Rolle.
Die Funktionsweise der Ransomware Yanluowang
In der ersten Phase des Angriffs verschaffen sich die Drahtzieher der Kampagne auf unterschiedlichen Wegen wichtige Zugangsdaten. Der darauffolgende Fake-Call zieht dann darauf ab, die 2-Faktor-Authentifizierung auszutricksen, die mittlerweile bei nahezu allen Unternehmen, Anbietern, Banken und Dienstleistern Standard ist.
Bei dem Voice-Phishing-Anruf fordert der vermeintliche Chef seinen Gesprächspartner also dazu auf, erhaltende Push-Nachrichten von Authentifizierungs-Apps zu bestätigen. Diese Masche ist auch unter dem Namen „MFA-Bombing“ bekannt und gilt eigentlich als „Meilenstein-Erfindung“ der berühmt-berüchtigten Hacker-Gruppe Lapsus$. Aber warum nicht von anderen Hackern lernen?
Hat der Erpressertrojaner dann das System infiltriert, startet der Verschlüsselungsprozess – aber nicht nur der. Yanluowang ist dabei auch in der Lage, Backup-Management- und Datensicherungssysteme zu beenden. Zu guter Letzt erfolgt das, worauf jede Ransomware hinarbeitet: Die Lösegeldforderung.
Noch immer sind die Angestellten selbst häufig der Grund für den Erfolg eines Angriffs. Bild: Pexels/Yan Krukov
Lösegeldforderung kommt mit weiteren Drohungen
Um den Opfern die Ausweglosigkeit ihrer Lage aufzuzeigen, bleibt es nicht bei einer reinen Lösegeldforderungen. Es folgen weitere Drohungen, die es wirklich in sich haben. Zum Beispiel, dass weitere Angriffe inklusive einer vollständigen Datenlöschung folgen oder Geschäftspartner des Unternehmen ebenfalls angegriffen werden. In anderen Fällen wurde mit der Veröffentlichung sensibler Daten im Darknet oder zerstörerischen DDoS-Angriffen gedroht, sollte keine Lösegeld-Zahlung erfolgen.
Sie sehen: Yanluowang zeigt ein äußerst aggressives Vorgehen. In Anbetracht der Drohungen und der ausgeklügelten Funktionalität der Ransomware, haben Opfer eigentlich gar keine Wahl mehr. Eine bittere Erfahrung, die das bekannte Unternehmen Cisco bereits machen musste. Hier verschafften sich die Hacker Zugriff auf das Google-Konto eines Mitarbeiters. Dieses enthielt Informationen über die Netzwerkdaten des Unternehmens. Mittels Voice-Phishing legten die Kriminellen den Mitarbeiter schließlich herein und hebelten die 2-Faktor-Authentifizierung aus. Damit war der Weg ins Unternehmensnetz (erst einmal) frei.
Ganzheitliches IT-Sicherheitskonzept schützt vor bösem Erwachen
Das gerade beschriebene Beispiel des Unternehmens Cisco macht einmal mehr deutlich, wie wichtig ein ganzheitliches IT-Sicherheitskonzept ist. Denn tatsächlich schafften es die Hacker zwar, in das Unternehmensnetzwerk einzudringen, aber danach war dann schon Schluss. Denn die Alarmsysteme funktionierten und die Cisco-Sicherheitsexperten konnten die Angreifer verdrängen. Wobei zu erwähnen ist, dass diese über mehrere Wochen immer wieder ihr Glück versuchten und immerhin auch 3.100 Dateien kopieren konnten, mit deren Veröffentlichung sie bis heute drohen.
So oder so stellt die neue Generation der Erpressertrojaner eine große Gefahr für Unternehmen dar. Wer jetzt noch glaubt, auf Firewalls, Antivirus-Software, Backup-Lösungen oder auch Sicherheitsschulungen für Mitarbeiter verzichten zu können, irrt gewaltig.
Wer hingegen auf der sicheren Seite sein möchte, kontaktiert einfach einen unserer Experten aus dem IT-SERVICE.NETWORK. Zusammen mit Ihnen sorgen unsere Sicherheitsexperten dafür, dass es selbst die smartesten Hacker so schwer wie möglich haben.
Weiterführende Links:
Enigmasoftware, Golem
Geschrieben von
Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung