IT-Sicherheit

Erpressertrojaner Yanluowang

Diese Ransomware-Masche hat es in sich

von 14.09.2022
zu sehen ist eine Person am Schreibtisch vor einem Laptop, die gerade einen Anruf entgegen nimmt. Thema ist die neuartige Ransomware Yanluowang, die u. A. Voice-Phishing nutzt. Bild: Unsplash/Christina@ wocintechchat.com
Bei der Yanluowang Ransomware kommt auch Voice-Phishing zum Einsatz. Bild: Unsplash/Christina@ wocintechchat.com

Die Ransomware Yanluowang läutet eine neue Ära der Erpessertrojaner ein. IT-Sicherheitsexperten gehen davon aus, dass die gefährliche Malware die (Unternehmens-)Welt noch lange in Atem halten wird.

Wie der Yanluowang-Erpressertrojaner im Detail funktioniert und was alles noch auf Unternehmen zukommen kann, verraten wir jetzt.

Yanluowang-Ransomware greift gezielt Unternehmen an

Der Erpressertrojaner mit dem klangvollen Namen Yanluowang ist noch relativ jung, weist aber ein Potenzial auf, dass seinesgleichen sucht. Während die ersten Angriffe mit der neuartigen Ransomware vor ziemlich genau einem Jahr erfolgten, scheint es nun so richtig loszugehen.

Yanluowang ist dabei international unterwegs. Unternehmen aus Ländern wie den USA, Deutschland, China, der Türkei und Brasilien zählen bereits zu den Opfern. Der Grund, warum Security-Experten nun vermehrt Alarm schlagen, ist, dass der Trojaner den bisherigen Analysen zufolge über eine Vielzahl von perfiden Funktionen verfügt. Und die meisten davon sind bislang noch nicht einmal zum Einsatz gekommen. Die Bedrohung ist daher größer als ursprünglich gedacht und es bleibt abzuwarten, in welcher Dimension Yanluowang Schäden anrichtet, wenn die Entwicklungsphase erst einmal komplett abgeschlossen ist.

Symbolbild für einen Hacker vor seinem Laptop. Thema ist die Conti-Ransomware oder Hive. Bild: Pexels/Mati Mango

Die Bedrohung durch die Yanluowang Ransomware steigt. Bild: Pexels/Mati Mango

Neuer Erpressertrojaner nutzt Voice-Phishing

Anders als viele andere Vertreter seiner Kategorie, findet das mittlerweile klassische Ransomware-as-a-Service-Prinzip keine Anwendung. Stattdessen fußt der Erfolg der fiesen Malware über das so genannte Voice-Phishing, einer modernen Form des Social-Engineerings.

Kurz zur  Erklärung: Bei dieser Methode kommen innovative Technologien aus den Bereichen Deep Learning und KI zum Einsatz. So lassen sich beispielsweise die Stimmen von Vorgesetzten perfekt nachbilden. Mitarbeiter, die dann einen derartigen Fake-Anruf erhalten, haben nahezu keine Chance zu erkennen, dass es sich beim Anrufer in Wahrheit nicht um ihren Chef, sondern um einen Computer bzw. einen Hacker mit Stimmverzerrer handelt. Und der brave Angestellte folgt dann natürlich den Anweisungen des Vorgesetzten – selbst wenn er sich über selbige etwas wundert.

Die neue Ransomware-Generation zeigt demnach gut, auf welche neuen Methoden und Maschen sich Unternehmen in Zukunft einstellen müssen. Die Hacker und Cyberkriminellen arbeiten mit immer besseren Tricks, um ihre Ziele zu erreichen. Und das „Sicherheitsrisiko Mensch“ spielt nach wie vor eine große Rolle.

Die Funktionsweise der Ransomware Yanluowang

In der ersten Phase des Angriffs verschaffen sich die Drahtzieher der Kampagne auf unterschiedlichen Wegen wichtige Zugangsdaten. Der darauffolgende Fake-Call zieht dann darauf ab, die 2-Faktor-Authentifizierung auszutricksen, die mittlerweile bei nahezu allen Unternehmen, Anbietern, Banken und Dienstleistern Standard ist.

Bei dem Voice-Phishing-Anruf fordert der vermeintliche Chef seinen Gesprächspartner also dazu auf, erhaltende Push-Nachrichten von Authentifizierungs-Apps zu bestätigen. Diese Masche ist auch unter dem Namen „MFA-Bombing“ bekannt und gilt eigentlich als „Meilenstein-Erfindung“ der berühmt-berüchtigten Hacker-Gruppe Lapsus$. Aber warum nicht von anderen Hackern lernen?

Hat der Erpressertrojaner dann das System infiltriert, startet der Verschlüsselungsprozess – aber nicht nur der. Yanluowang ist dabei auch in der Lage, Backup-Management- und Datensicherungssysteme zu beenden. Zu guter Letzt erfolgt das, worauf jede Ransomware hinarbeitet: Die Lösegeldforderung.

Eine Frau sitzt verzweifelt an ihrem Laptop. Ihr Unternehmen ist Opfer von Ransomware-as-a-Service. Bild: Pexels/Yan Krukov

Noch immer sind die Angestellten selbst häufig der Grund für den Erfolg eines Angriffs. Bild: Pexels/Yan Krukov

Lösegeldforderung kommt mit weiteren Drohungen

Um den Opfern die Ausweglosigkeit ihrer Lage aufzuzeigen, bleibt es nicht bei einer reinen Lösegeldforderungen. Es folgen weitere Drohungen, die es wirklich in sich haben. Zum Beispiel, dass weitere Angriffe inklusive einer vollständigen Datenlöschung folgen oder Geschäftspartner des Unternehmen ebenfalls angegriffen werden. In anderen Fällen wurde mit der Veröffentlichung sensibler Daten im Darknet oder zerstörerischen DDoS-Angriffen gedroht, sollte keine Lösegeld-Zahlung erfolgen.

Sie sehen: Yanluowang zeigt ein äußerst aggressives Vorgehen. In Anbetracht der Drohungen und der ausgeklügelten Funktionalität der Ransomware, haben Opfer eigentlich gar keine Wahl mehr. Eine bittere Erfahrung, die das bekannte Unternehmen Cisco bereits machen musste. Hier verschafften sich die Hacker Zugriff auf das Google-Konto eines Mitarbeiters. Dieses enthielt Informationen über die Netzwerkdaten des Unternehmens. Mittels Voice-Phishing legten die Kriminellen den Mitarbeiter schließlich herein und hebelten die 2-Faktor-Authentifizierung aus. Damit war der Weg ins Unternehmensnetz (erst einmal) frei.

Ganzheitliches IT-Sicherheitskonzept schützt vor bösem Erwachen

Das gerade beschriebene Beispiel des Unternehmens Cisco macht einmal mehr deutlich, wie wichtig ein ganzheitliches IT-Sicherheitskonzept ist. Denn tatsächlich schafften es die Hacker zwar, in das Unternehmensnetzwerk einzudringen, aber danach war dann schon Schluss. Denn die Alarmsysteme funktionierten und die Cisco-Sicherheitsexperten konnten die Angreifer verdrängen. Wobei zu erwähnen ist, dass diese über mehrere Wochen immer wieder ihr Glück versuchten und immerhin auch 3.100 Dateien kopieren konnten, mit deren Veröffentlichung sie bis heute drohen.

So oder so stellt die neue Generation der Erpressertrojaner eine große Gefahr für Unternehmen dar. Wer jetzt noch glaubt, auf Firewalls, Antivirus-Software, Backup-Lösungen oder auch Sicherheitsschulungen für Mitarbeiter verzichten zu können, irrt gewaltig.

Wer hingegen auf der sicheren Seite sein möchte, kontaktiert einfach einen unserer Experten aus dem IT-SERVICE.NETWORK. Zusammen mit Ihnen sorgen unsere Sicherheitsexperten dafür, dass es selbst die smartesten Hacker so schwer wie möglich haben.


Weiterführende Links:
Enigmasoftware, Golem

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

Check-Point-Sicherheitslücke

Schwachstelle ermöglicht unbefugten Netzwerkzugriff

von • 26.06.2024

Die Entwickler der IT-Sicherheitssoftware Check Point warnen vor einer Schwachstelle, die unbefugten Netzwerkzugriff ermöglicht. Ein Update für die Check-Point-Sicherheitslücke steht bereit. Wir...

Weiterlesen
IT-Sicherheit

Cybersicherheit 2024

Was Unternehmen zu den aktuellen Tendenzen im Cybercrime wissen müssen

von • 19.06.2024

Der Blick auf die Cybersicherheit 2024 zeigt: Ein Fokus auf die Cyberresilienz wird für Unternehmen immer wichtiger. Aktuelle Tendenzen deuten daraufhin, dass die Risiken durch Cybercrime steigen. ...

Weiterlesen
IT-Sicherheit

Quishing ist neue Gefahr

Wie Cyberkriminelle QR-Codes für sich nutzen

von • 12.06.2024

Mit Quishing haben Cyberkriminelle eine neue Methode gefunden, um ihre Opfer in die Falle zu locken. Zum Einsatz kommen dabei QR-Codes. Wir erklären, was Quishing ist, wie es funktioniert und wie ...

Weiterlesen