Mehrere Jahre lang hat der Sicherheitsanbieter Sophos die Entwicklung einer Ransomware verfolgt und nun seine Erkenntnisse veröffentlicht. SamSam verschlüsselt nicht nur Dokumente auf einem befallenen Computer, sondern auch Anwendungen. Das unterscheidet die Malware von anderen Erpresser-Trojanern.
Foto: Sophos
Im Laufe der Beobachtung registrierte Sophos nach eigenen Angaben einer Professionalisierung der SamSam-Hintermänner. So seien sie immer besser geworden beim Umgehen von Sicherheitsmaßnahmen und beim Verwischen ihrer Spuren. Laut einer Schätzung des britischen Sicherheitsanbieters haben die Entwickler von SamSam mit ihrer Malware im Durchschnitt monatlich 300.000 US-Dollar eingenommen. Insgesamt sollen sie fast 6 Millionen Dollar erpresst haben.
Sophos betont, dass SamSam nicht automatisiert vorgehe. Jeder Angriff werde sorgfältig vorbereitet und erfolge gezielt. Meist würden die unbekannten Angreifer dazu Remote-Desktop-Verbindungen (RDP) missbrauchen. Nach der Infizierung warten die Angreifer jedes Mal, bis es beim Opfer spät abends oder nachts ist, bevor sie mit der Verschlüsselung von Daten beginnen. So reduzieren sie die Gefahr, dabei erwischt zu werden.
Die genaue Zahl der Opfer ist nicht bekannt. Laut Sophos seien aber nur 37 Prozent der befallenen Unternehmen und Behörden an die Öffentlichkeit gegangen. Michael Veit, Sicherheitsexperte bei Sophos, rät zu einem "aktiven und mehrschichtigen Sicherheitsmodell", um ein Unternehmen gegen Angriffe wie die durch SamSam zu schützen.