Spora — ein kundenorientierter Erpresser

Früher im Jahr entdeckten Forscher den neuen Erpresser Spora, der zunächst ausschließlich russischsprachige Nutzer angriff und dann begann, sich in verschiedenen Ländern der Welt auszubreiten. Das Besondere an dem Schädling war von vornherein das überaus fachmännisch gestaltete Portal zum Bezahlen des Lösegeldes. Jetzt positionieren sich die Entwickler von Spora als einer der höchstentwickelten und „professionellsten“ Betreiber einer Erpresser-Kampagne: Sie investieren in die Entwicklung eines qualifizierten technischen Supports und betreiben auch eine Art von PR, um ihren Ruf zu stärken, die am stärksten „kundenorientierten“ Erpresser zu sein.

Eins der einmaligen Merkmale von Spora ist das Chatfenster mit Kundensupport, über das die Opfer mit den Erpressern kommunizieren können. Den Forschern gelang es, auf die Seiten einiger Opfer Zugriff zu erhalten und die Kommunikation mit den Cyberkriminellen zu verfolgen.

Der Technische Support ist in russischer und englischer Sprache verfügbar. Die Betreiber sind sprachgewandt, versuchen kritische Situationen mit erbosten „Kunden“ zu deeskalieren und geben angemessene und qualifizierte Antworten auf auftretende Fragen.

Den Forschern fiel zudem ins Auge, dass die Erpresser ihren Opfern gegenüber absolut loyal sind und sich durchaus auf eine Verlängerung oder gar auf einen völligen Verzicht der Zahlungsfrist für das Lösegeld einlassen würden, und zwar für diejenigen Opfer, die einen positiven Kommentar über die Arbeit der Kampagnenbetreiber im Forum von Bleeping Computer hinterlassen (obgleich derzeit noch niemand von dieser „Großzügigkeit“ Gebrauch gemacht hat). Zudem bieten sie „Rabatte“ und die kostenlose Entschlüsselung besonders wichtiger Dateien an.

Positive Kommentare – das ist ein ziemlich kluger Marketing-Schachzug, der mit dem Begriff des Kundenvertrauens spielt. Offensichtlich können solche Kommentare andere Opfer davon überzeugen, dass sie ihre Dateien mit Sicherheit zurückerhalten, wenn sie nur das Lösegeld bezahlen. Es sind viele Fälle bekannt, in denen die Opfer selbst nach Zahlung des Lösegeldes ihre Dateien nicht entschlüsseln konnten, was dem Ruf der Idee von Ransomware-Attacken selbst Schaden zufügt, da ihr Erfolg eben von der Überzeugung des Opfers abhängt, dass die Zahlung des Lösegeldes ihr Problem lösen wird.

Die Betreiber der Spora-Kampagne kommen ihren Opfern noch mit einer weiteren Besonderheit entgegen: Hat ein Opfer einmal gezahlt, so erlangt es gewissermaßen Immunität und ist vor Folgeinfektionen geschützt. Das Ladeprogramm dieser Option erstellt eine Datei mit demselben Namen wie auch bei der Erstinfektion mit Spora. Bei einer Folgeinfektion erkennt Spora diese ID und wird nicht auf dem Computer installiert.

Laut Angaben von MalwareHunter gab es auch einen Fall, in dem die Entwickler von Spora einen 10-prozentigen Rabatt für die Dechiffrierung von Dateien in einem Unternehmen anboten, in dem mehr als 200 Geräte mit dem Erpresserprogramm infiziert waren. Nach Worten der Forscher ist der Kundensupport von Spora besser organisiert als in vielen IT-Unternehmen.

Die Zahl der Spora-Infektionen steigt; und auch wenn die Werte von Spora noch nicht an den Verbreitungsgrad der allseits bekannten Verschlüsselungsprogramme Cerber und Locky heranreichen, stehen die Chancen gut, dass dieser Schädling ähnliche „Erfolge“ erzielen wird. Bisher wurde noch kein Decodierer für Spora entwickelt.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.