Ransomware Chimera droht nun auch mit Offenlegung von Daten im Netz

SicherheitVirus
Ransomware (Bild: Shutterstock / Carlos Amarillo)

Allerdings fehlen für die Realisierung der Drohung die technischen Voraussetzungen, da die Funktion fehlt, um die Daten des Opfers an einen Befehlsserver zu schicken. Die Hacker verkaufen Chimera überdies für eine Provision von 50 Prozent als Ransomware-as-a-Service.

Der japanische Sicherheitsanbieter Trend Micro hat eien Ausweitung des “Geschäftsmodells” durch die Hintermänner der Chimera festgestellt. Sie verschlüsselt nun nicht mehr nur die Anwenderdaten auf dem Rechner, sondern droht auch, diese im Internet offenzulegen, falls kein Lösegeld bezahlt wird. Damit will sie den Druck auf ihre Opfer erhöhen. Laut Trend Micro ist Chimera die erste Crypto-Erpressersoftware, die ein solches Druckmittel verwendet.

Android-Variante der Erpresser-Malware Cryptolocker ist aufgetaucht.

“Unsere Analyse zeigt, dass die Malware trotz der Drohung keine Funktion besitzt, um die Daten eines Opfers an einen Befehlsserver zu verschicken”, schreibt Anthony Joe Melgarejo, Threat Response Engineer bei Trend Micro. Sie sende lediglich eine selbst generierte Opfer-ID, eine Bitcoin-Adresse und den privaten Schlüssel. Allerdings dürfte es wohl der nächste Schritt der Kriminellen sein, die Malware um eine entsprechenden Komponente zu erweitern.

Eine weitere Neuerung von Chimera ist ein Partnerprogramm. Die Lösegeldforderung weist gezielt darauf hin: “Weitere Informationen im Quellcode dieser Datei”. Der Code enthält wiederum eine Adresse des legitimen Peer-to-Peer-Protokolls Bitmessage, das eine verschlüsselte und anonyme Kommunikation ermöglicht. Die Adresse sei im Quellcode verborgen, um gezielt Anwender mit technischen Fähigkeiten anzusprechen, mutmaßt Trend Micro.

chimera1 (Bild: Trend Micro)
Lösegeldforderung der Erpressersoftware Chimera (Bild: Trend Micro)

Der Verkauf der Ransomware als Dienst (Ransomware-as-a-Service) an andere Erpresser reduziere das Risiko, die illegalen Aktivitäten zu den eigentlichen Hintermännern zurückzuverfolgen, führt Trend Micro weiter aus. Für ihre Dienste verlangten die Kriminellen eine Provision von 50 Prozent.

Chimera bedroht laut Trend Micro ausschließlich Windows-Systeme. Die Malware ist mindestens seit Ende September im Umlauf und wird nicht nur von Trend Micro, sondern auch von anderen Sicherheitsanbietern wie Eset, Kaspersky und Avira erkannt. Das von Chimera ausgehende Risiko sowie das Schadenspotenzial stuft Trend Micro als “hoch” ein.

Für 2016 rechnet Trend Micro mit einer weiteren Zunahme von Erpresser-Malware voraus. Von einer Zahlung eines geforderten Lösegelds rät das japanische Unternehmen ab. Es gebe keinerlei Garantie, dass sich die Kriminellen an das Geschäft halten und Zahlungen würden sie lediglich animieren, ihrem illegalen Geschäft weiterhin nachzugehen. Um sich vor Ransomware zu schützen, empfiehlt Trend Micro eine regelmäßige Datensicherung auf unterschiedlichen Medien.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen