Cerber und Sauron greifen an: Bedrohung durch Spionage-Trojaner

Es droht massiver Datenverlust

„Urböse“ Spionage-Trojaner

Seit Jahresbeginn haben die Angriffe durch erpresserische Schadsoftware drastisch zugenommen. Cyberkriminelle schleusen sie unbemerkt über E-Mail oder infizierte Webseiten ein, installieren die Spionage-Trojaner auf den Rechnern ihrer Opfer, um dort dann alle Dateien unlesbar zu verschlüsseln. Freigegeben werden sie – wenn überhaupt – erst wieder, wenn ein Lösegeld bezahlt wird.

Inzwischen vergeht kaum noch ein Tag, ohne dass eine neue Art von Ransomware unsere Daten bedroht. Die Anzahl der Cyberattacken mit Verschlüsselungstrojanern stieg von Januar bis Ende Mai dieses Jahres um 70 Prozent. Das geht aus dem im Juli 2016 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgelegten Lagedossier zum Thema Ransomware hervor. Mit Cerber und Sauron, ist nun die nächste Eskalationsstufe erreicht. Beide Trojaner gehen besonders perfide Wege, um Anwender zu schädigen und Geld zu erpressen. Angesichts der neuesten Entdeckungen von IT-Spezialisten – darunter auch Forscher von Kaspersky – empfinden wir die bisher bekannten Trojaner fast schon wie Schnee von gestern. Doch was genau verbirgt sich dahinter?

Sauron verschickt Daten seit 2011

Sauron ist eigentlich gar nicht so neu: Bereits seit fünf Jahren stiehlt die erst jetzt entdeckte Spionagesoftware munter Daten von Rechnern von Finanzinstituten, Regierungsbehörden und Forschungseinrichtungen und verschickt sie über Mailserver nach außen.

Spionage-Trojaner

Sauron soll nach Informationen der Forscher aber nicht nur in der Lage sein, Dokumente zu stehlen, sondern auch Tastaturanschläge aufzuzeichnen und Verschlüsselungs-Keys von infizierten Computern und angeschlossenen USB-Sticks mitzulesen. Gefunden wurde der Spionage-Trojaner bislang auf Rechnern von mehr als 30 Zielen in Russland, Schweden, China und Belgien.

Stecken Geheimdienste hinter Sauron?

Wie viele andere Schadprogramme auch, kommt das nur wenige Kilobyte große Installationsprogramm per E-Mail an. Man kann sich Sauron aber auch per USB-Stick einfangen. Einmal installiert, sucht Sauron – gut versteckt – nach Mailservern in den Netzwerken seiner Opfer und verschickt Geschäftsdaten verschlüsselt als E-Mail-Anhang nach außen. Ihre Kommandos empfängt die Schadsoftware – natürlich ebenfalls gut versteckt – über ständig wechselnde Kommandoserver. Der Spionage-Trojaner Sauron ist mit seinen verschiedenen Programmmodulen, die alle unabhängig voneinander funktionieren, derart komplex aufgebaut, dass Analysten dubiose Geheimdienste als Drahtzieher des Super-Virus vermuten. In ihrem Bericht heißt es: „Basierend auf den Fähigkeiten dieser Malware und der Art ihrer Ziele vermuten wir einen Angreifer auf Staatsebene.“

Schläferzelle wartet auf Weckruf

Übrigens: Auf den Festplatten der infizierten Rechner findet sich keine Spur des Virus. Stattdessen werden die Programmmodule gut im Hauptspeicher des Computers versteckt. Die Entdeckung des Trojaners werde nach Berichten der Forscher insbesondere dadurch erschwert, dass die Dateien unterschiedliche Namen und Dateigrößen hätten und für jedes Ziel individuell angepasst würden. Befindet sich die Malware erst einmal auf einem Computer, arbeite sie wie eine „Schläferzelle“. Erst wenn ein „Weckruf“ über das Internet komme, werde Sauron aktiv.

Sauron als Synonym für das Böse

Spionage-Trojaner Der Name Sauron kommt Ihnen irgendwie bekannt vor? Dann haben Sie entweder den „Herr der Ringe“ schon einmal gelesen oder den gleichnamigen Film gesehen. Allen anderen sei gesagt: Sauron ist das Urböse in den Büchern des britischen Schriftstellers John Ronald Reuel Tolkien. Im Gegensatz zu vielen anderen Bösewichten ist dieser Charakter aber nicht einfach böse, sondern sehr vielschichtig. Obwohl er nicht direkt und körperlich in Erscheinung tritt, ist es Sauron, der dem Bösen sein wahres Gewicht und Gesicht verleiht. So hat er unter anderem Kriege durch List und Grausamkeit geführt, wurde scheinbar vernichtet — hat aber überlebt und sich schließlich wieder erhoben. Einen treffenderen Namen hätten Saurons Entdecker dem Virus wohl kaum geben können.

Spionage-Trojaner auf Bestellung

Im Gegensatz zu Sauron haben die Hintermänner des Verschlüsselungstrojaners Cerber ein ganz anderes Motiv: Ihnen geht es um Geld. Laut Forschern des Sicherheitsdienstes CheckPoint haben Cerbers Entwickler eine gut strukturierte Marketing-Organisation für den Vertrieb ihres Trojaners aufgebaut. Im Darknet können Interessenten die Schadsoftware quasi wie in einem Warenhaus bestellen. Fundierte IT-Kenntnisse für die Nutzung der Ransomware sind nicht nötig – fast jeder kann mit Cerber also die Kontrolle über fremde Rechner übernehmen. Die Anleitung dafür liefern die Dienstleister aus dem Darknet ihren Abnehmern gleich mit. Sogar eine Support-Hotline für Fragen rund um die Bestellung wurde eingerichtet.

Cerber schleicht sich an

Spionage-Tojaner Denkt man an den dreiköpfigen Höllenhund Cerberus aus der griechischen Mythologie, scheint der Virus seinem Namen absolut gerecht zu werden. Verbreitet wird Cerber von seinen neuen Besitzern dann als Spam-Mail, gut getarnt durch Social Engineering. Erreicht Cerber einen Host, kopiert sich die Schadsoftware und nistet sich ein. Cerber schleicht sich sozusagen an sein Ziel heran und ist zu Beginn der Infektion kaum aktiv, damit Schutzmechanismen, die zur Entdeckung führen könnten, umgangen werden. Für den Start der Verschlüsselung braucht Cerber dann nicht einmal eine aktive Internetverbindung – die Kommunikation mit dem Command & Control Server erfolgt zeitversetzt. Hinzu kommt: Cerber löscht sogar Schattenkopien von Dateien, damit die Wiederherstellung gänzlich unmöglich wird und beeinflusst den Bootvorgang, um Rettungsversuche kategorisch auszuschließen.

Kein Ende in Sicht

Inzwischen sind über 80.000 User in 176 Ländern von einer Cerber-Attacke betroffen – seit Mai wütet, nach Angaben des BSI, Cerber verstärkt in Deutschland. Man kann davon ausgehen, dass die Angriffswelle noch längst nicht ausgestanden ist: Cerber ist ein relativ junger Trojaner, der sich weiterentwickelt und fortlaufend angepasst wird: Die ersten Dechiffrierungs-Tools können bereits jetzt Daten nicht mehr aus den Fängen der aktuellen Version des Verschlüsselungs-Trojaners Cerber befreien, meldet das Security-Portal heise.

Was hilft gegen die Bedrohung?

Spionage-Trojaner Die Sensibilisierung von Mitarbeitern gegenüber Spionage-Trojanern reicht angesichts der vielschichtigen Attacken von Sauron, Cerber & Co nicht aus. Gefragt sind durchgängige Sicherheitsstrategien, welche die verschiedenen Einfallstore im Griff haben. Dabei sollten technische Sicherheitsmaßnahmen zentral umgesetzt werden, schon allein, um den einzelnen Anwender nicht mit Sicherheitsaspekten zu belasten.

Kostenfreier Ratgeber: Schutz vor Krypto-Trojanern

LesetippErfahren Sie in unserem kostenlosen Security Guide, wie Sie sich gegen Krypto-Trojaner schützen können und was im Falle eines Befalls zu tun ist.

Ein wirkungsvoller Schutz vor Krypto-Trojanern beginnt beim Blockieren verdächtiger Dateitypen, geht über das Entfernen von potentiell verdächtigen E-Mail-Inhalten bis hin zum Umwandeln von E-Mails ins PDF-Format, wodurch ebenfalls verdächtige und verseuchte Inhalte entfernt werden. Eine erste Hürde für Angreifer ist eine Mehrscanner-Strategie, denn schon der parallele Einsatz mehrerer Anti-Virenscanner mit zusätzlicher Cloud-Erkennungstechnologie kann unbekannte Schädlinge mit hoher Wahrscheinlichkeit zeitnah erkennen und unterbinden.

Spionage-Trojaner Auch der Versand vertraulicher Daten via E-Mail, wie ihn Sauron praktiziert, lässt sich mithilfe von DLP-Lösungen vereiteln. Data Leakage Prevention, wie wir es beispielsweise mit iQ.Suite DLP praktizieren, erkennt Datenklau in der ausgehenden E-Mail-Kommunikation. Dazu gehört auch die Analyse von Verhaltensanomalien, wie ein plötzlicher Anstieg des E-Mail-Volumens. Im Ergebnis lassen sich vertrauliche Inhalte vor dem Versand schützen.

Fazit

Sauron & Co sind nur die Spitze des Eisbergs, denn immer öfter werden vertrauliche Geschäftsinformationen und sensible Kundendaten zum Opfer von Datendieben. Es ist zu erwarten, dass die Bedrohungslage durch Spionage-Trojaner zunimmt und Angreifer immer gezielter versuchen, ihre Opfer zu schädigen. Wir alle sollten uns dieser Situation bewusst sein und beispielsweise kritisch gegenüber unbekannten E-Mail-Absendern oder verdächtigen Dateiformaten sein. Doch nur im Zusammenspiel von organisatorischen und technischen Maßnahmen kann letztlich ein Maximum an Sicherheit realisiert werden.

geschrieben von: Andreas Richter

Andreas Richter

Andreas Richter ist EVP Marketing & Product Management bei GBS und verantwortet die weltweite Marketing- und Produktstrategie. In seiner Arbeit verknüpft er umfassende Marketing-Expertise mit einem breiten Know-how in Bereichen wie IT-Sicherheit, E-Mail-Management, Collaboration, Social Business, Cloud, Compliance und Mobility.

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!

Posted in:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.