IT-Sicherheit

Erpressertrojaner Yanluowang

Diese Ransomware-Masche hat es in sich

von 14.09.2022
zu sehen ist eine Person am Schreibtisch vor einem Laptop, die gerade einen Anruf entgegen nimmt. Thema ist die neuartige Ransomware Yanluowang, die u. A. Voice-Phishing nutzt. Bild: Unsplash/Christina@ wocintechchat.com

Die Ransomware Yanluowang läutet eine neue Ära der Erpessertrojaner ein. IT-Sicherheitsexperten gehen davon aus, dass die gefährliche Malware die (Unternehmens-)Welt noch lange in Atem halten wird.

Wie der Yanluowang-Erpressertrojaner im Detail funktioniert und was alles noch auf Unternehmen zukommen kann, verraten wir jetzt.

Yanluowang-Ransomware greift gezielt Unternehmen an

Der Erpressertrojaner mit dem klangvollen Namen Yanluowang ist noch relativ jung, weist aber ein Potenzial auf, dass seinesgleichen sucht. Während die ersten Angriffe mit der neuartigen Ransomware vor ziemlich genau einem Jahr erfolgten, scheint es nun so richtig loszugehen.

Yanluowang ist dabei international unterwegs. Unternehmen aus Ländern wie den USA, Deutschland, China, der Türkei und Brasilien zählen bereits zu den Opfern. Der Grund, warum Security-Experten nun vermehrt Alarm schlagen, ist, dass der Trojaner den bisherigen Analysen zufolge über eine Vielzahl von perfiden Funktionen verfügt. Und die meisten davon sind bislang noch nicht einmal zum Einsatz gekommen. Die Bedrohung ist daher größer als ursprünglich gedacht und es bleibt abzuwarten, in welcher Dimension Yanluowang Schäden anrichtet, wenn die Entwicklungsphase erst einmal komplett abgeschlossen ist.

Symbolbild für einen Hacker vor seinem Laptop. Thema ist die Conti-Ransomware oder Hive. Bild: Pexels/Mati Mango

Die Bedrohung durch die Yanluowang Ransomware steigt. Bild: Pexels/Mati Mango

Neuer Erpressertrojaner nutzt Voice-Phishing

Anders als viele andere Vertreter seiner Kategorie, findet das mittlerweile klassische Ransomware-as-a-Service-Prinzip keine Anwendung. Stattdessen fußt der Erfolg der fiesen Malware über das so genannte Voice-Phishing, einer modernen Form des Social-Engineerings.

Kurz zur  Erklärung: Bei dieser Methode kommen innovative Technologien aus den Bereichen Deep Learning und KI zum Einsatz. So lassen sich beispielsweise die Stimmen von Vorgesetzten perfekt nachbilden. Mitarbeiter, die dann einen derartigen Fake-Anruf erhalten, haben nahezu keine Chance zu erkennen, dass es sich beim Anrufer in Wahrheit nicht um ihren Chef, sondern um einen Computer bzw. einen Hacker mit Stimmverzerrer handelt. Und der brave Angestellte folgt dann natürlich den Anweisungen des Vorgesetzten – selbst wenn er sich über selbige etwas wundert.

Die neue Ransomware-Generation zeigt demnach gut, auf welche neuen Methoden und Maschen sich Unternehmen in Zukunft einstellen müssen. Die Hacker und Cyberkriminellen arbeiten mit immer besseren Tricks, um ihre Ziele zu erreichen. Und das „Sicherheitsrisiko Mensch“ spielt nach wie vor eine große Rolle.

Die Funktionsweise der Ransomware Yanluowang

In der ersten Phase des Angriffs verschaffen sich die Drahtzieher der Kampagne auf unterschiedlichen Wegen wichtige Zugangsdaten. Der darauffolgende Fake-Call zieht dann darauf ab, die 2-Faktor-Authentifizierung auszutricksen, die mittlerweile bei nahezu allen Unternehmen, Anbietern, Banken und Dienstleistern Standard ist.

Bei dem Voice-Phishing-Anruf fordert der vermeintliche Chef seinen Gesprächspartner also dazu auf, erhaltende Push-Nachrichten von Authentifizierungs-Apps zu bestätigen. Diese Masche ist auch unter dem Namen „MFA-Bombing“ bekannt und gilt eigentlich als „Meilenstein-Erfindung“ der berühmt-berüchtigten Hacker-Gruppe Lapsus$. Aber warum nicht von anderen Hackern lernen?

Hat der Erpressertrojaner dann das System infiltriert, startet der Verschlüsselungsprozess – aber nicht nur der. Yanluowang ist dabei auch in der Lage, Backup-Management- und Datensicherungssysteme zu beenden. Zu guter Letzt erfolgt das, worauf jede Ransomware hinarbeitet: Die Lösegeldforderung.

Eine Frau sitzt verzweifelt an ihrem Laptop. Ihr Unternehmen ist Opfer von Ransomware-as-a-Service. Bild: Pexels/Yan Krukov

Noch immer sind die Angestellten selbst häufig der Grund für den Erfolg eines Angriffs. Bild: Pexels/Yan Krukov

Lösegeldforderung kommt mit weiteren Drohungen

Um den Opfern die Ausweglosigkeit ihrer Lage aufzuzeigen, bleibt es nicht bei einer reinen Lösegeldforderungen. Es folgen weitere Drohungen, die es wirklich in sich haben. Zum Beispiel, dass weitere Angriffe inklusive einer vollständigen Datenlöschung folgen oder Geschäftspartner des Unternehmen ebenfalls angegriffen werden. In anderen Fällen wurde mit der Veröffentlichung sensibler Daten im Darknet oder zerstörerischen DDoS-Angriffen gedroht, sollte keine Lösegeld-Zahlung erfolgen.

Sie sehen: Yanluowang zeigt ein äußerst aggressives Vorgehen. In Anbetracht der Drohungen und der ausgeklügelten Funktionalität der Ransomware, haben Opfer eigentlich gar keine Wahl mehr. Eine bittere Erfahrung, die das bekannte Unternehmen Cisco bereits machen musste. Hier verschafften sich die Hacker Zugriff auf das Google-Konto eines Mitarbeiters. Dieses enthielt Informationen über die Netzwerkdaten des Unternehmens. Mittels Voice-Phishing legten die Kriminellen den Mitarbeiter schließlich herein und hebelten die 2-Faktor-Authentifizierung aus. Damit war der Weg ins Unternehmensnetz (erst einmal) frei.

Ganzheitliches IT-Sicherheitskonzept schützt vor bösem Erwachen

Das gerade beschriebene Beispiel des Unternehmens Cisco macht einmal mehr deutlich, wie wichtig ein ganzheitliches IT-Sicherheitskonzept ist. Denn tatsächlich schafften es die Hacker zwar, in das Unternehmensnetzwerk einzudringen, aber danach war dann schon Schluss. Denn die Alarmsysteme funktionierten und die Cisco-Sicherheitsexperten konnten die Angreifer verdrängen. Wobei zu erwähnen ist, dass diese über mehrere Wochen immer wieder ihr Glück versuchten und immerhin auch 3.100 Dateien kopieren konnten, mit deren Veröffentlichung sie bis heute drohen.

So oder so stellt die neue Generation der Erpressertrojaner eine große Gefahr für Unternehmen dar. Wer jetzt noch glaubt, auf Firewalls, Antivirus-Software, Backup-Lösungen oder auch Sicherheitsschulungen für Mitarbeiter verzichten zu können, irrt gewaltig.

Wer hingegen auf der sicheren Seite sein möchte, kontaktiert einfach einen unserer Experten aus dem IT-SERVICE.NETWORK. Zusammen mit Ihnen sorgen unsere Sicherheitsexperten dafür, dass es selbst die smartesten Hacker so schwer wie möglich haben.


Weiterführende Links:
Enigmasoftware, Golem

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

Staatstrojaner

Wie Staatstrojaner funktionieren und ob man sich schützen kann

von • 28.11.2022

Staatstrojaner sind per Gesetz legitimiert, trotzdem fragen sich natürlich viele Unternehmer und Privatpersonen, was es im Detail damit auf sich hat. Und auch: Ob es Schutzmöglichkeiten gibt. Unt...

Weiterlesen
IT-Sicherheit

Ransom Cartel

Neuer Erpresstrojaner basiert auf Ransomware-as-a-Service

von • 16.11.2022

Ransom Cartel lautet der Name eines neuen Erpressertrojaners, der auf dem „as-a-Service“-Prinzip sowie der perfiden REvil-  Technologie basiert und vornehmlich große Unternehmen im Visier hat. ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2022

Bedrohung durch Cybercrime auf Rekordniveau

von • 07.11.2022

Der BSI-Lagebericht 2022 ist da – und laut diesem war die Lage noch nie so gefährlich wie jetzt. Die Bedrohungen durch Cybercrime für deutsche Unternehmen und Privatnutzer sind extremer denn je. ...

Weiterlesen