Klicken Sie hier um die komplette Analyse als PDF herunterzuladen.

Heutzutage müssen Hacker nicht mehr das Dark Web durchsuchen, um Zugriff auf ihre eigenen Ransomware- Plattformen zu erhalten. Cyberkriminelle finden ständig neue Wege, um für ihre Untergrundgeschäfte zu werben und die Aufmerksamkeit neuer Kunden und unerfahrener Hacker zu gewinnen. Mehrere Bedrohungsakteure haben kürzlich beliebte soziale Medien und Open Source-Quellen wie YouTube, Vimeo und Sellix genutzt, um für ihren preisreduzierten, 40 US-Dollar teuren Ransomware-as-a-Service (RaaS)-Builder namens ZagreuS zu werben und ihn vorzuführen.

YouTube-Videodemonstration des ZagreuS Ransomware Builders. (Quelle: Recorded Future)

Die ZagreuS-Ransomware bietet mehrere attraktive und benutzerfreundliche Funktionen, die sie für Hacker-Anfänger mit wenig Erfahrung zugänglich und handhabbar machen. Laut den Verkäufern umfasst die Ransomware folgende Funktionen:

• Asymmetrische Verschlüsselung. Verwendet eine Hybridkombination aus AES-256- und RSA-2048-Algorithmen, um Dateien auf dem Zielcomputer zu sperren.
• Es löscht Schattenkopien und verschlüsselt Dateien angeblich mit sehr hoher Geschwindigkeit.
• Behauptet, UAC zu umgehen.
• Integrierter Loader, der angepasst werden kann, um zusätzliche Payloads wie RATs (Remote-Access-Trojaner) abzuwerfen.
• Der Angreifer kann die Anzahl der mit der Ransomware infizierten Opfer überwachen.
• Einfache Personalisierung. Geben Sie für eine schnelle Zahlung Ihre Kontaktinformationen und Bitcoin-Adresse ein.

Ein neuer Benutzer hat in einem Deep-Web-Hacking-Forum für die ZagreuS-Funktionen geworben. (Quelle: Aufgezeichnete Zukunft)

Nach Angaben des ursprünglichen Verkäufers ist ZagreuS für den Angriff auf größere Netzwerke von Unternehmen, Konzernen und Krankenhäusern konzipiert. Das 11-minütige Demo-Video , das auf YouTube gepostet wurde, beschreibt, dass der Verkäufer für jedes eingezogene Lösegeld eine Provision von 30 Prozent erhält, während die restlichen 70 Prozent vom Betreiber/Käufer einbehalten werden. Der Ransomware-Builder ist derzeit zu einem niedrigen Preis von 40 US-Dollar im Trend, der in Kryptowährung an die Brieftasche des Verkäufers gezahlt wird.

Mehrere interessierte Käufer hinterließen in Untergrundforen Kommentare zu den Verkaufsbeiträgen und fragten, ob jemand den ZagreuS-Builder getestet und Interesse daran bekundet habe, ihn auszuprobieren. In der Regel ist der niedrige Preis des Herstellers in diesen Fällen ein Hinweis darauf, dass es dem Verkäufer an Erfahrung mangelt oder das Werkzeug nicht besonders wertvoll ist. Wie die Insikt Group herausgefunden hat, funktioniert das Tool in den meisten Fällen nicht richtig, lässt sich leicht entschlüsseln und es ist für die damit verbundenen Kriminellen sehr schwierig, auf Kosten ihrer Opfer Profit zu machen.

Ein neuer Benutzer hat in einem Deep-Web-Hacking-Forum für die ZagreuS-Funktionen geworben. (Quelle: Aufgezeichnete Zukunft)

Viele Online-Plattformen und Social-Media-Anwendungen sind sich dieser Werbung bewusst und arbeiten an ihrer Entfernung. Als dieses Demo-Video vom ursprünglichen YouTube-Kanal entfernt wurde, lud der Bedrohungsakteur es schnell unter einem anderen Link erneut hoch und wechselte zu anderen Plattformen für Clear Web- und Deep Web-Marketing, darunter sellix.io. RAID-Foren, Hackforen und Github.

Ransomware hat im vergangenen Jahr die Bühne der Cyberkriminalität erobert und sich schnell zu einer der schädlichsten und am weitesten verbreiteten Formen von Cyberangriffen entwickelt. Branchen wie staatliche und lokale Behörden, das Gesundheits- und Finanzwesen waren im vergangenen Jahr besonders stark von Ransomware-Angriffen betroffen, und eine Besserung ist nicht in Sicht. Derzeit gibt es über 1.800 Varianten von Ransomware, wobei die 45 beliebtesten Varianten das höchste Lösegeld einbringen.

(Quelle: Aufgezeichnete Zukunft)

Obwohl die Einstiegshürde für Bedrohungsakteure, in Ransomware einzusteigen, niedriger denn je ist, profitieren nur sehr wenige Kriminelle von diesen kostengünstigen, einfachen RaaS-Tools. Diejenigen, die erfolgreich sind, haben jedoch die Situation ausgenutzt und die Lösegeldforderungen erhöht. Einige praktizieren sogar die doppelte Ausbeutung ihrer Opfer – sie verlangen ein Lösegeld und geben die persönlichen Daten der Opfer immer noch zum Verkauf in Untergrundforen frei, nachdem sie bezahlt haben.

Weitere Informationen zu Sicherheitsinformationen zum Schutz vor Ransomware-Bedrohungen finden Sie unter www.recordedfuture.com.