SamSam Ransomware erpresste 5,9 Mio US-Dollar in zweieinhalb Jahren

Sophos Langzeitstudie: Nur 37 Prozent der angegriffenen Unternehmen gehen an die Öffentlichkeit. [...]

Seit Ende 2015 bis Juni 2018 hat Sophos die Entwicklung einer ganz besonderen Ransomware verfolgt: SamSam trat erstmals im Dezember 2015 auf. Damals wurde von Ransomware-Angriffen berichtet, die sich auf den Betrieb einiger großer Organisationen auswirkten, darunter Krankenhäuser, Schulen und Städte.

Die SamSam-Erpressungssoftware erweist sich als besonders gründliches Verschlüsselungswerkzeug, das nicht nur Arbeitsdateien unbenutzbar machen kann, sondern auch Programme, die für den Betrieb eines Windows-Computers nicht essentiell sind und von denen die meisten daher nicht routinemäßig gesichert werden. Das Ziel der jetzt veröffentlichten Studie von Sophos ist es, das Wesen dieser komplexen Bedrohung besser zu verstehen. Ein ausführliches Whitepaper fasst nun die Ergebnisse zusammen.

Die wichtigsten Ergebnisse der Studie

Der Studie zufolge waren die USA mit 74 Prozent der nachgewiesenen Angriffe das Hauptziel. In Europa sind vor allem das Vereinigte Königreich und Belgien betroffen, weitere Angriffe gab es in den Niederlanden, Estland und Dänemark. Ebenfalls angegriffen wurden Ziele in den Vereinigte Arabische Emirate (VAE), in Indien sowie in Australien.

Die Angriffe erfolgen meist zwischen 21.00 Uhr abends und 3.00 Uhr morgens und sind von einer wachsenden Professionalität geprägt, was das Umgehen von Sicherheitskomponenten und das Verwischen von Spuren betrifft.

Es ist nicht nachweisbar, ob es sich bei dem Kopf hinter SamSam um eine einzelne männliche oder weibliche Person handelt oder um eine Gruppe von Cyberkriminellen.

Sophos hat berechnet, dass SamSam seit erstmaligem Erscheinen im Jahre 2015 mehr als 5,9 Millionen US-Dollar erpressen konnte. Sophos schätzt außerdem, dass der (oder die) SamSam-Angreifer im Jahr 2018 durchschnittlich 300.000 US-Dollar pro Monat eingenommen hat. Das höchste bisher an SamSam gezahlte Lösegeld betrug 64.478 US-Dollar.

Manuell gesteuerte Angriffe nach Feierabend

Im Gegensatz zu vielen Ransomware-Angriffen stammen SamSam-Attacken nicht von einem herkömmlichen bösartigen Spam- oder Drive-by-Download-Angriff: Jeder Angriff ist ein manueller, gezielter Einbruch in ein zuvor sorgfältig als Ziel ausgewähltes Netzwerk. Sophos vermutet, dass viele Angriffe mit einer Remote-Desktop-Kompromittierung eines Gerätes im Netzwerk beginnen. Sobald die Malware das interne Netzwerk durchsucht und eine Liste potentieller Angriffsziele erstellt hat, warten die (oder der) SamSam-Angreifer entsprechend der Zeitzone des Opfers, bevor der eigentliche Angriff startet: spät abends und nachts, wenn Benutzer und Administratoren längst Feierabend haben, wird die Malware verteilt und mit der Verschlüsselung der infizierten Computer begonnen. Dieses Timing verbessert die Erfolgschancen des Angriffs immens. Zudem erweist sich die Cyberkriminellen-Seite überraschend geschickt darin, viele Sicherheitswerkzeuge zu umgehen. Wenn etwa der Prozess der erpresserischen Verschlüsselung von Daten unterbrochen wird, löscht die Malware sofort alle Spuren von sich selbst, um eine nachträgliche Untersuchung zu behindern.

Die Opfer schweigen

Eine Reihe von Organisationen des mittleren und großen öffentlichen Sektors aus den Bereichen Gesundheit, Bildung und Regierung haben Angriffe durch SamSam offengelegt. Regierungsorganisationen haben dabei zu 100 Prozent die erlittenen Angriffe gemeldet. Von den betroffenen Organisationen der Gesundheitswirtschaft gingen 79 Prozent an die Öffentlichkeit ebenso wie 38 Prozent der betroffenen Bildungseinrichtungen. Insgesamt umfassen die Organisationen, die einen Angriff öffentlich bekannt gaben, nur 37 Prozent der von Sophos im Rahmen der Langzeitstudie identifizierten SamSam-Opfer.

Sophos glaubt, dass es hunderte weitere Opfer geben könnte, die keine öffentliche Erklärung abgegeben haben. So hat bisher hat kein Unternehmen anderer Branchen oder des Privatsektors irgendeine öffentliche Erklärung abgegeben, die einen SamSam-Angriff bestätigt – die Studie legt jedoch nahe, dass es diese gegeben hat.