Andrey_Popov – shutterstock.com
Das neue RaaS-Projekt namens VanHelsing wurde erstmals am16. März von Forschern von CYFIRMA entdeckt, als Angreifer es für Verschlüsselung und doppelte Erpressung nutzten. Da es für Ziele der Gemeinschaft Unabhängiger Staaten (GUS) verboten ist, gehen die Security-Spezialisten davon aus, dass die Hintermänner aus Russland stammen.
„Nach der Ausführung fügt VanHelsing die Erweiterung „.vanhelsing“ an die verschlüsselten Dateien an, verändert das Desktop-Hintergrundbild und legt eine Lösegeldnotiz namens „README.TXT“ auf dem System des Opfers ab“, erklären die Sicherheitsforscher.
Eines der Opfer von VanHelsing wurde Berichten zufolge aufgefordert, 500.000 Dollar an eine bestimmte Bitcoin-Wallet zu zahlen.
Ein plattformübergreifendes RaaS-Projekt
Laut CYFIRMA hat es VanHelsing vor allem auf Windows-Anwender abgesehen. „Die Ransomware zielt auf Windows-Systeme ab. Sie setzt fortschrittliche Verschlüsselungstechniken ein und hängt eine eindeutige Dateierweiterung an kompromittierte Dateien an“, heißt es im Forschungsbericht.
Ein paar Tage später stellte der Security-Anbieter Check Point jedoch fest, dass im Darknet plattformübergreifende VanHelsing-Programme angeboten werden. Darunter Varianten für Linux-, BSD-, ARM- und ESXi-Systeme.
„Das RaaS-Programm bietet ein intuitives Kontrollpanel für vereinfachte Ransomware-Operationen“, so Check Point weiter. Neuere der beiden von Check Point analysierten Varianten – die im Abstand von fünf Tagen erstellt wurden – zeigten „signifikante Updates“, was auf eine sich schnell entwickelnde Ransomware hindeutet.
Ausgeklügeltes Partnerprogramm
VanHelsing ist eine raffinierte, in C++ geschriebene Ransomware, die, basierend auf dem von Check Point beobachteten Kompilierungszeitstempel, ihr erstes Opfer am selben Tag forderte, an dem sie von CYFIRMA entdeckt wurde.
„Die Ransomware akzeptiert mehrere Befehlszeilen, die den Verschlüsselungsprozess steuern, zum Beispiel je nachdem, ob Netzwerk- und lokale Laufwerke oder bestimmte Verzeichnisse und Dateien verschlüsselt werden sollen“, so Check Point weiter.
Darüber hinaus bietet das RaaS laut VanHelsings Werbe-Screenshot, der im Check Point-Blogpost veröffentlicht wurde, weitere Affiliate-freundliche Funktionen wie Verschlüsselungskontrolle, Verschlüsselungsmodi, Selbstverbreitung und Debugging.
Während neue Interessenten demnach eine Anzahlung von 5.000 Dollar leisten müssen, um Zugang zum Programm zu erhalten, können erfahrene Affiliates kostenlos teilnehmen. „Nach zwei Blockchain-Bestätigungen der Lösegeldzahlung des Opfers erhalten die Partner 80 Prozent der Einnahmen, während die restlichen 20 Prozent an die RaaS-Betreiber gezahlt werden“, führt CheckPoint aus.
Um die Opfer daran zu hindern, ihre Dateien wiederherzustellen, löscht das RaaS-Programm alle „Schattenkopien“, das heißt Sicherungskopien von Dateien oder Datenträgern, die vom Windows Volume Shadow Copy Service (VSS) erstellt wurden.
Nach Angaben von CYFIRMA hat die Ransomware bisher Regierungs-, Produktions- und Pharmaunternehmen in den USA und Frankreich angegriffen. Die Experten raten Unternehmen, robuste Verschlüsselungs-, Authentifizierungs- und Konfigurationspraktiken zu implementieren und Backups von kritischen Systemen und Dateien zu erstellen. (jm)