Bezahlen oder verlieren: Neue Ransomware auf dem Computer.

Ransomware ist für Unternehmen und Organisationen auf der ganzen Welt zu einem echten Fluch geworden und kommt nun in einer neuen, viel hinterhältigeren und gefährlicheren Aufmachung auf Unternehmen zu. Die neue Malware heißt „Fonix“ und kann Ihre Systeme in nutzlose Bausteine verwandeln, die Ihnen rücksichtslos den Zugriff auf alle Ihre Daten verweigern. Sie legt alle Arbeitsprozesse Ihres Unternehmens lahm und somit handlungsunfähig. Umso wichtiger ist zu verstehen, wie Ransomware funktioniert, um sich vor ihr schützen zu können:

Es existiert eine Vielzahl von Erpressersoftware, die alle den gleichen Schaden anrichten: Sie verschlüsseln Dateien auf den Computern der Opfer und erpressen um ein Lösegeld, damit die Computer wieder entschlüsselt werden können. In den letzten Jahren wurden viele Unternehmen und staatliche Organisationen Opfer von Erpressersoftware und erlebten das Gefühl dem Täter ausgeliefert zu sein. Denn für viele Unternehmen, die keine Daten-Sicherung (Backups) betrieben haben, bleibt bei diesem Angriff eine geringe Auswahl an Möglichkeiten: Bezahlen oder verlieren.

Fonix verfolgt den gleichen Zweck, aber unterscheidet sich von seinen Vorgängern durch viele Merkmale: Erstens verbreitet es sich nicht auf bisher gewohnte Art und Weise. Es ist “RaaS” oder “Erpressersoftware-as-a-Service”.

Was bedeutet dies?

Wie ein legales SaaS-Modell (Software-as-a-Service) verbreitet sich “RaaS” über ein Abonnement. Ein angehender Krimineller kauft einen Zugang zu einem Erpressersoftware-Framework und verwaltet selbiges, um Angriffe durchzuführen. Das Fonix-Modell funktioniert allerdings nicht so, denn gesamte Kommunikation mit den Autoren erfolgt per E-Mail.

Wie funktioniert dies im Detail?

Ein potenzieller Angreifer sendet eine E-Mail an die Schöpfer der Fonix-Ransomware um seine Bereitschaft zur Teilnahme an der Fonix-Kampagne zu kommunizieren. Hierbei übermittelt er ihnen seine E-Mail-Adresse die er für seine Fonix Angriffe verwenden möchte. Der Ransomware Schöpfer stellt dem Angreifer die notwendige Software sowie E-Mail-Adressen potenzieller Opfer zur Verfügung. Ist ein Angriff erfolgreich und der geschädigte Benutzer bereit das Lösegeld zu zahlen, kontaktiert dieser den Angreifer, der sich wiederum mit dem Ransomware-Schöpfer in Verbindung setzt um die Dateien zu entschlüsseln. Der Angreifer fungiert somit als Mittelsmann zwischen Ransomware-Schöpfer und Opfer.


Wie Fonix Ihre IT treffen kann:

Fonix wird in vielen cyberkriminellen Foren beworben, einschließlich des Dark Web. Nachdem ein Angreifer die Schadsoftware von den Ransomware Schöpfer erhalten hat, kann er sie über verschiedene Internet-Ressourcen und Methoden verbreiten, um sie den Opfern zukommen zu lassen. Sie kann in Phishing-E-Mails, Torrent-Tracker, Raubkopien, gefälschte oder legale Softwaredateien enthalten sein – eigentlich alles, was einen Benutzer dazu bringt, die schädliche Datei herunterzuladen und auszuführen. Wie bei jeder anderen Erpressersoftware besteht der Hauptzweck darin, ein Opfer auf die schädliche Datei klicken zu lassen – und schon ist der Computer infiziert.

Wie schadet Fonix?

Fonix verschlüsselt nicht nur Dateien auf Ihren Computern und erpresst mit einer Zahlung in Form eines Lösegelds, um diese zu entschlüsseln, sondern im Gegensatz zu den meisten seiner „kriminellen Brüder“ verschlüsselt Fonix alle Dateien auf dem angegriffenen System mit Ausnahme kritischer Windows-Systemdateien.
Darüber hinaus verwendet diese intelligente Malware laut SentinelLab-Analyse vier verschiedene Arten der Verschlüsselung: AES, Chacha, RSA und Salsa20 gleichzeitig. Diese Kombination zuverlässiger Verschlüsselungsalgorithmen macht jeden Versuch, die Dateien zu entschlüsseln, zu einem aktuell unmöglichen Unterfangen. Als Sahnehäubchen ändert Fonix die Erweiterungen der verschlüsselten Dateien und Festplattennamen in XINOF (FONIX rückwärts), um zu betonen, dass der Computer dem Angreifer ausgeliefert ist. Dies ist jedoch nur der Beginn des Verlaufs: Nachdem die Daten der Opfer verpfändet wurden, erhält der Geschädigte einen Lösegeldschein. Und hier passieren die interessantesten Dinge.


Wie Fonix funktioniert

Nachdem ein Opfer auf die infizierte Datei geklickt hat, startet diese den Prozess. Neben der Verschlüsselung der Dateien „schleicht“ sich Fonix in den Startordner und die Registrierung und erstellt einen versteckten Dienst, um seine Präsenz auf dem infizierten Computer dauerhaft zu gewährleisten. Es löscht Volume Shadow Copies, um die Wiederherstellung von Dateien zu verhindern. Dies wirkt sich auf die Systemwiederherstellung und sicheren Startprozesse aus. All dies zielt darauf ab, den potentiellen Opfern die Möglichkeit zu nehmen, ohne Beteiligung der Angreifer wieder auf die verschlüsselten Dateien zuzugreifen.

Nachdem die “Arbeit im Hintergrund” erledigt ist, wird der Computer eines Opfers blockiert und ein Lösegeldbanner erscheint. Um die Dateien entschlüsseln zu lassen, sollte der Geschädigte den Angreifer per E-Mail kontaktieren und ihm „bis zu 3 Dateien“ senden, um sicherzustellen, dass eine Entschlüsselung möglich ist, wenn er das Lösegeld zahlt.

Im Gegensatz zu anderen Erpressersoftware-Fällen kann der Angreifer die Dateien jedoch nicht selbst entschlüsseln. Weder weiß er genau, wie es geht, noch hat er ein geeignetes Werkzeug dafür. Eigentlich fungiert er als Vermittler: Er sendet die Dateien an die Ransomware Schöpfer des Fonix, welche die Datei des Geschädigten entschlüsseln und an den Angreifer zurücksenden. Dann sendet der Angreifer die entschlüsselte Datei an den Geschädigten. Auf diese Weise erhält der Geschädigte den Beweis, dass die Wiederherstellung seiner Dateien möglich ist, und zahlt das Lösegeld an den Angreifer. Anschließend überträgt der Angreifer 25% des Lösegeldes auf die Bitcoin-Adresse der Fonix-Schöpfer. Als Antwort stellen die Schöpfer dem Angreifer einen Schlüssel und eine Software zur Verfügung. Schließlich sendet der Angreifer beides an den Geschädigten.

Auf den ersten Blick sieht diese lange Kette ziemlich seltsam aus und ist zweifellos viel langsamer als normale Erpressersoftware-as-a-Service-Instanzen. Aus welchen Gründen verfolgen die Täter also einen so komplizierten Ansatz?

Der offensichtlichste Grund hierfür kann der Wunsch der Fonix-Schöpfer sein, sich vor einer Strafverfolgungsuntersuchung zu schützen: Es ist viel schwieriger, sie zu finden und zur Rechenschaft zu ziehen, da jeder Angreifer als Stellvertreter zwischen den Schöpfern und dem potentiellen Opfer fungiert.

Aber das ist nicht alles!

All dies erinnert tatsächlich an ein Geschäftssystem mit passivem Einkommen. Die Fonix-Schöpfer sind nicht direkt an den Angriffen beteiligt, sondern erhalten von jedem Angriff eine fixe Summe, die es ihnen ermöglicht, ihren kriminellen Gewinn fast ohne Anstrengung zu vervielfachen. Zusammenfassend lässt sich sagen, dass die Schöpfer von Fonix andere dazu bringen, Kastanien für sie aus dem Feuer zu holen.

Besonders besorgniserregend ist, dass dieses Vorgehen auch Kriminelle anzieht, die keine technischen Fähigkeiten besitzen, aber grundsätzlich bereit sind Internetkriminalität zu begehen. Sollte dieses Modell populär werden, könnte die Internetkriminalität auf der ganzen Welt exponentiell zunehmen, da die sich Anzahl der potenziellen Angreifer um ein Vielfaches erhöht? Die Barriere um an solchen böswilligen Kampagnen teilnehmen – die technischen Voraussetzungen – entfällt.

So schützen Sie sich vor Fonix

Zunächst sollten wir erwähnen, dass Fonix derzeit nur Windows-basierte Computer angreift. Cyberkriminelle verwenden möglicherweise viele Varianten ihrer Verbreitung, einschließlich Social-Engineering-Tricks, sodass sie im Internet auf verschiedene Weise erfasst werden können.

Grundlegende Hygienevorschriften für Cybersicherheit verringern die Wahrscheinlichkeit einer Infektion erheblich. Zu den Regeln gehören das Vermeiden von Piratensoftware und das Herunterladen von Dateien von unerwünschten Ressourcen sowie das Aktualisieren von Antivirenprogrammen und der gesamten Software auf Ihrem Computer. Der gefährlichste Vektor des Fonix Angriffs ist sicherlich das sog. Social Engineering, da selbst eine Person mit Sicherheitsbewusstsein dazu verleitet werden kann, eine schädliche Datei auszuführen. Dementsprechend verringert eine ordnungsgemäße Schulung Ihrer Mitarbeiter im Bereich der Sensibilisierung die Chancen der Täter und erhöht Ihre Chancen auf eine entsprechende Sicherheit erheblich.

Und natürlich sind ordnungsgemäß gespeicherte Backups – wie in jedem Fall einer Infizierung durch eine Erpressersoftware – der beste und zuverlässigste Weg, um Ihre Daten unversehrt und verfügbar zu halten.

Wenn Sie wissen wollen, welche Lösung Ihrem Unternehmensnetzwerk den besten Schutz vor Ransomware bietet, beraten wir Sie gerne.