Spora: Neuer Erpresserschädling jetzt weltweit auf dem Vormarsch

Ein vor kurzem aufgetauchter Erpresserschädling der „Premiumklasse“, der die Forscher durch ein sorgfältig durchdachtes Interface zur Bezahlung des Lösegeldes und ein hohes Ausführungsniveau überrascht, wurde in mehreren internationalen Kampagnen registriert. Dieser Schädling, der es bisher ausschließlich auf russischsprachige Opfer abgesehen hatte, hat bereits Nutzer in Saudi Arabien, Österreich und den Niederlanden angegriffen.

Noch vor ein paar Wochen gelangte Spora über schädliches Spam in russischer Sprache auf die Systeme der Opfer, doch jetzt wird der Schädling über Exploit-Packs verbreitet, insbesondere über RIG-v. Letztgenanntes ist auch für die jüngsten Kampagnen der Schädlinge Cerber, Locky und Sage verantwortlich.

Der schädliche Server, von dem aus die Erpresser verbreitet werden, ist in zwei parallele Verbreitungsschemata von Spora verwickelt. Die Experten von Emsisoft sind der Meinung, dass das Vorhandensein des Parameters „Campaign ID“ bedeutet, dass die Person, die hinter diesen Attacken steht, die Effizienz zweier unterschiedlicher Spam-Kampagnen verfolgt. Oder es weist darauf hin, dass Spora von zwei verschiedenen Gruppierungen verwendet wird, die den Schädling von seinen Autoren mieten. Und obgleich bisher nicht klar ist, ob sich die Entwickler von Spora für das Modell Ransom-as-a-Service entschieden haben, wird der Schädling eindeutig zu einer globalen Bedrohung.

Spora beeindruckt durch seine Reife: Der Schädling verwendet eine verlässliche Verschlüsselung und glaubhaft erscheinende gefälschte E-Mails, zudem funktioniert er auch ohne Internetverbindung und verfügt über eine solide Infrastruktur, unter anderem über einen Service zur Bezahlung des Lösegeldes, der bezüglich seiner Benutzerfreundlichkeit vielen legalen E-Commerce-Websites in nichts nachsteht.

Auf dem Portal können die Nutzer beispielsweise unter verschiedenen Optionen auswählen (kostenlose Entschlüsselung einiger weniger Dateien, Entschlüsselung aller Dateien, Erkaufen von „Immunität“ gegenüber künftigen Spora-Infektionen, Löschen aller Dateien des Schädlings von dem Computer nach Dechiffrierung und Wiederherstellung einer konkreten Datei). Alle Optionen sind über ein akkurates Dashboard verfügbar, das sogar die Zeit anzeigt, die bis zum Ablauf der Zahlungsfrist verbleibt.

Ein solches Menü und die modulare Bezahlmethode des Lösegeldes sind Neuheiten in der Welt der Cybererpressung. Alle Zahlungen werden in Bitcoin getätigt, wobei die Wallet mit dem Account des Opfers auf dem Erpresserportal verknüpft ist. Um Bezahlsicherheit zu gewährleisten, verfügt die Website über ein von Comodo ausgegebenes legitimes SSL-Zertifikat.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.