Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Spuren verfolgt

Sophos analysiert SamSam-Ransomware



Andreas Th. Fischer ist freier Journalist in München. Er verfügt über langjährige Erfahrung als Redakteur in verschiedenen IT-Fachmedien, darunter NetworkWorld Germany, com! professional und ChannelPartner. Seine fachlichen Schwerpunkte liegen in den Bereichen IT-Security, Netzwerke und Virtualisierung.
Mit gezielten Angriffen auf Unternehmen und Behörden sollen die Macher der SamSam-Ransomware monatlich rund 300.000 US-Dollar erwirtschaften.

Mehrere Jahre lang hat der Sicherheitsanbieter Sophos die Entwicklung einer Ransomware verfolgt und nun seine Erkenntnisse veröffentlicht. SamSam verschlüsselt nicht nur Dokumente auf einem befallenen Computer, sondern auch Anwendungen. Das unterscheidet die Malware von anderen Erpresser-Trojanern.

"Ein aktives und mehrschichtiges Sicherheitsmodell ist die beste Vorgehensweise." Michael Veit, Sicherheitsexperte bei Sophos
"Ein aktives und mehrschichtiges Sicherheitsmodell ist die beste Vorgehensweise." Michael Veit, Sicherheitsexperte bei Sophos
Foto: Sophos

Im Laufe der Beobachtung registrierte Sophos nach eigenen Angaben einer Professionalisierung der SamSam-Hintermänner. So seien sie immer besser geworden beim Umgehen von Sicherheitsmaßnahmen und beim Verwischen ihrer Spuren. Laut einer Schätzung des britischen Sicherheitsanbieters haben die Entwickler von SamSam mit ihrer Malware im Durchschnitt monatlich 300.000 US-Dollar eingenommen. Insgesamt sollen sie fast 6 Millionen Dollar erpresst haben.

Sophos betont, dass SamSam nicht automatisiert vorgehe. Jeder Angriff werde sorgfältig vorbereitet und erfolge gezielt. Meist würden die unbekannten Angreifer dazu Remote-Desktop-Verbindungen (RDP) missbrauchen. Nach der Infizierung warten die Angreifer jedes Mal, bis es beim Opfer spät abends oder nachts ist, bevor sie mit der Verschlüsselung von Daten beginnen. So reduzieren sie die Gefahr, dabei erwischt zu werden.

Die genaue Zahl der Opfer ist nicht bekannt. Laut Sophos seien aber nur 37 Prozent der befallenen Unternehmen und Behörden an die Öffentlichkeit gegangen. Michael Veit, Sicherheitsexperte bei Sophos, rät zu einem "aktiven und mehrschichtigen Sicherheitsmodell", um ein Unternehmen gegen Angriffe wie die durch SamSam zu schützen.