Die Ransomware Yanluowang läutet eine neue Ära der Erpessertrojaner ein. IT-Sicherheitsexperten gehen davon aus, dass die gefährliche Malware die (Unternehmens-)Welt noch lange in Atem halten wird.
Wie der Yanluowang-Erpressertrojaner im Detail funktioniert und was alles noch auf Unternehmen zukommen kann, verraten wir jetzt.
Yanluowang-Ransomware greift gezielt Unternehmen an
Der Erpressertrojaner mit dem klangvollen Namen Yanluowang ist noch relativ jung, weist aber ein Potenzial auf, dass seinesgleichen sucht. Während die ersten Angriffe mit der neuartigen Ransomware vor ziemlich genau einem Jahr erfolgten, scheint es nun so richtig loszugehen.
Yanluowang ist dabei international unterwegs. Unternehmen aus Ländern wie den USA, Deutschland, China, der Türkei und Brasilien zählen bereits zu den Opfern. Der Grund, warum Security-Experten nun vermehrt Alarm schlagen, ist, dass der Trojaner den bisherigen Analysen zufolge über eine Vielzahl von perfiden Funktionen verfügt. Und die meisten davon sind bislang noch nicht einmal zum Einsatz gekommen. Die Bedrohung ist daher größer als ursprünglich gedacht und es bleibt abzuwarten, in welcher Dimension Yanluowang Schäden anrichtet, wenn die Entwicklungsphase erst einmal komplett abgeschlossen ist.
Neuer Erpressertrojaner nutzt Voice-Phishing
Anders als viele andere Vertreter seiner Kategorie, findet das mittlerweile klassische Ransomware-as-a-Service-Prinzip keine Anwendung. Stattdessen fußt der Erfolg der fiesen Malware über das sogenannte Voice-Phishing, einer modernen Form des Social-Engineerings.
Kurz zur Erklärung: Bei dieser Methode kommen innovative Technologien aus den Bereichen Deep Learning und KI zum Einsatz. So lassen sich beispielsweise die Stimmen von Vorgesetzten perfekt nachbilden. Mitarbeiter, die dann einen derartigen Fake-Anruf erhalten, haben nahezu keine Chance zu erkennen, dass es sich beim Anrufer in Wahrheit nicht um ihren Chef, sondern um einen Computer bzw. einen Hacker mit Stimmverzerrer handelt. Und der brave Angestellte folgt dann natürlich den Anweisungen des Vorgesetzten – selbst wenn er sich über selbige etwas wundert.
Die neue Ransomware-Generation zeigt demnach gut, auf welche neuen Methoden und Maschen sich Unternehmen in Zukunft einstellen müssen. Die Hacker und Cyberkriminellen arbeiten mit immer besseren Tricks, um ihre Ziele zu erreichen. Und das „Sicherheitsrisiko Mensch“ spielt nach wie vor eine große Rolle.
Die Funktionsweise der Ransomware Yanluowang
In der ersten Phase des Angriffs verschaffen sich die Drahtzieher der Kampagne auf unterschiedlichen Wegen wichtige Zugangsdaten. Der darauffolgende Fake-Call zieht dann darauf ab, die 2-Faktor-Authentifizierung auszutricksen, die mittlerweile bei nahezu allen Unternehmen, Anbietern, Banken und Dienstleistern Standard ist.
Bei dem Voice-Phishing-Anruf fordert der vermeintliche Chef seinen Gesprächspartner also dazu auf, erhaltende Push-Nachrichten von Authentifizierungs-Apps zu bestätigen. Diese Masche ist auch unter dem Namen „MFA-Bombing“ bekannt und gilt eigentlich als „Meilenstein-Erfindung“ der berühmt-berüchtigten Hacker-Gruppe Lapsus$. Aber warum nicht von anderen Hackern lernen?
Hat der Erpressertrojaner dann das System infiltriert, startet der Verschlüsselungsprozess – aber nicht nur der. Yanluowang ist dabei auch in der Lage, Backup-Management- und Datensicherungssysteme zu beenden. Zu guter Letzt erfolgt das, worauf jede Ransomware hinarbeitet: Die Lösegeldforderung.
Hier lesen Sie den vollständigen Beitrag auf IT-SERVICE-NETWORK
