Ransomware-Baukasten mit grafischem Interface. Quelle: Kaspersky Lab
Der Sicherheitsexperte Kaspersky Lab hat die Herkunft der 62 im Jahr 2016 neu entdeckten Ransomware-Familien untersucht. Mindestens 47 davon stammen aus dem russischsprachigen Cyberuntergund, lautet das Fazit der Untersuchung.
Die Verschlüsselungsprogramme sind derzeit populär und richten immer wieder größere Schäden an. Üblicherweise verlangen die Ransomware-Angreifer Lösegeld in Form von Bitcoins, um die mit der Schadsoftware verschlüsselten Daten wieder entschlüsselt zu bekommen.
Aus dieser Methode, so eine weitere Erkenntnis der Untersuchung, hat sich ein rentables Geschäft entwickelt. Die Ransomware-Analyse habe gezeigt, „dass sich vormals kleinere Gruppen mit eingeschränkten Fähigkeiten zu großen kriminellen Organisationen entwickelt haben, die über Ressourcen und Wissen verfügen, um private und geschäftliche Ziele auf der ganzen Welt anzugreifen“, berichtet Kaspersky.
Die Vorgehensweise ist auch in anderer Hinsicht gut organisiert. Das Geschäft mit Ransomware finde vor allem über Partnerprogramme statt.
Das Kernelement seien die Entwickler der Ransomware. In der Verbreitungskette folgen dann kriminelle Gruppen, die die Schadsoftware über Exploit-Kits und Spam verbreiten. Für diese Affiliate-Programme gebe es sogar Support, haben Kasperskys Recherchen ergeben. Die Kaspersky-Experten gehen davon aus, dass sich mit Affiliate-Programmen ein Tagesumsatz von mehreren zehntausend bis hunderttausende US-Dollar erzielen lässt. 60 Prozent davon könne man dabei als Nettogewinn für die Kriminellen ansehen.
Ransomware-Baukasten mit grafischem Interface. Quelle: Kaspersky Lab
Die Betreiber der Affiliate-Programme arbeiten ihrerseits wieder mit Partnern zusammen, die für zusätzliche Verbreitungswege sorgen und dafür ebenfalls bezahlt werden. Die Einstiegshürde sei alarmierend niedrig, so Kaspersky Lab. Etwas kriminelle Energie und einige Bitcoins reichten oft schon aus, um über ein Affiliate-Programm mitzumischen.
