Dr. Shifro: Check Point deckt neues Ransomware-Geschäftsmodell auf

IT-Beratung bietet dubiose Unterstützung von Ransomware-Opfern beim Entsperren ihrer Dateien an

[datensicherheit.de, 10.12.2018] Nach eigenen Angaben haben Sicherheitsforscher von Check Point in „Dr. Shifro“ einen Ransomware-Entschlüsselungsservice ausgemacht, der als Händler zwischen betroffenen Unternehmen und den Cyber-Kriminellen agiert haben soll. „Cybercrime“ und besonders Ransomware seien für Kriminelle ein lukratives Geschäftsfeld; eines dieser besonders einträglichen Geschäfte sind demnach die Verwaltung der Entschlüsselungscodes der verschiedenen im Umlauf befindlichen Ransomware-Schädlinge.

Angebot, von „Dharma-/Crisis“-Ransomware befallene Dateien zu entschlüsseln

Die Sicherheitsforscher von Check Point seien bei ihren Recherchen auf eine bestimmte, online als „Dr. Shifro“ beworbene „IT-Beratung“ gestoßen: Diese bietet demnach nur einen einzigen Service an – nämlich die Unterstützung von Ransomware-Opfern beim Entsperren ihrer Dateien.
Dass ein IT-Berater nur einen einzigen Service anbietet, sei höchst ungewöhnlich und dadurch verdächtig. Darüber hinaus verspreche „Dr. Shifro“ Dateien freizuschalten, die von der „Dharma-/Crisis“-Ransomware, für die kein Entschlüsselungscode verfügbar sei, gegen Lösegeld verschlüsselt gehalten werden. „Dr. Shifro“ garantiere, von Ransomware betroffene Dateien, die keinen öffentlichen Schlüssel haben, freizuschalten.

„Dr. Shifro“ als Vermittler zwischen Opfer und Angreifer

Nach einigen verdeckten Ermittlungen habe sich bald herausgestellt, dass „Dr. Shifro“ tatsächlich selbst Kontakt mit dem Schöpfer der Lösegeldsoftware aufgenommen und einen „Deal“ mit ihm abgeschlossen habe, um die Dateien des Opfers gegen die Lösegeldzahlung (1.300 US-Dollar) freizuschalten.
„Dr. Shifro“ würde diese Kosten dann an das Opfer weitergeben, wobei seine eigene Gebühr zusätzlich erhoben werde (weitere 1.000 US-Dollar). Durch die direkte Verbindung mit dem Bedrohungsakteur, um den Entschlüsselungscode gegen Bezahlung zu erhalten, fungiere „Dr. Shifro“ einfach als Vermittler zwischen Opfer und Angreifer.

Abbildung: Check Point

Neues Ransomware-Geschäftsmodell nach „Dr. Shifro“

Keine Versprechungen machen, die nicht zu halten sind!

Es gebe zwar legitime IT-Beratungsunternehmen, die dabei helfen könnten, die Systeme und Dateien nach einem Ransomware-Angriff wiederherzustellen, aber sie würden in der Regel keine Versprechungen machen, die sie nicht halten können.
Tatsächlich würden sie nur auf dem Gebiet so zuversichtlich sein, für welches sie Lösungen anbieten können, wie die bereits öffentlich zugänglichen Entschlüsselungscodes, – sie führten also lediglich Entschlüsselungsdienste für diejenigen durch, die möglicherweise dazu selbst nicht in der Lage sind.

Kreativität der Cyber-Kriminellen hat eindeutig noch „viel Dampf“

Ransomware sei eine so verheerende und profitable Angriffsform, dass die Sicherheitsexperten sicher seien, dass die Entwicklung sowohl der Malware selbst als auch des „Ökosystems“, in dem sie betrieben wird, weitergehen werde.
Neben der in den letzten Jahren entstandenen „Ransomware-as-a-Service“- und „Ransomware-Affiliate-Industrie“ scheine die Kreativität der Cyber-Kriminellen eindeutig noch „viel Dampf“ zu haben. Tatsächlich sei das von „Dr. Shifro“ geschaffene attraktive Geschäftsmodell von anderen unternehmerischen „Betrugskünstlern“ leicht zu replizieren.

Weitere Informationen zum Thema:

cp <r>
The Ransomware Doctor Without a Cure

datensicherheit.de, 22.11.2018
Apple-Betriebssysteme: Ransomware-Angriffe steigen um 500 Prozent an

datensicherheit.de, 18.07.2018
GlanceLove: Check Point veröffentlicht Details zu Android-Malware