Online-Erpresser verschlüsseln Datenbank und fordern 50.000 US-Dollar Lösegeld

Online-Erpresser arbeiten mit einer neuen Masche, um Betreiber von Webservern zu erpressen: Die Angreifer manipulieren die Server so, dass sie neu angelegte Datensätze – etwa, wenn sich ein Nutzer registriert – verschlüsseln. Beim Zugriff darauf werden die Daten transparent entschlüsselt, so dass der Angriff nicht sofort auffällt. Der dabei genutzte Krypto-Schlüssel liegt auf einem Server der Angreifer. Nach einigen Monaten entfernen sie ihn und rücken ihn nur nach der Zahlung eines Lösegelds wieder raus.

RansomWeb

Die Schweizer Sicherheitsfirma High-Tech Bridge hat zwei Fälle der RansomWeb getauften Angriffsmasche untersucht. Bei dem ersten Opfer soll es sich um einen europäischen Finanzdienstleister handeln. Die Online-Erpresser bauten Krypto-Funktionen in eine Web-Anwendung des betroffenen Unternehmens ein und verschlüsselten zudem alle Daten, die bereits in der Datenbank gespeichert waren.

Die manipulierten Skripte luden den eingesetzten Krypto-Schlüssel via HTTPS von einem Server der Angreifer, wodurch er nicht im Klartext in Traffic-Mitschnitten aufgetaucht wäre. Dann warteten die Täter sechs Monate, ehe sie den Krypto-Schlüssel entfernten – während dieser Zeit hat die Web-Anwendung nur verschlüsselte Daten in der Datenbank gespeichert. Auch die Backups enthalten folglich lediglich verschlüsselte Datenbankeinträge.

50.000 US-Dollar Lösegeld

Anschließend kontaktierten die Täter schließlich den Finanzdienstleister und forderten ein Lösegeld in Höhe von 50.000 US-Dollar, wie High-Tech Bridge der Online-Ausgabe der Forbes sagte. In einem weiteren Fall haben Online-Erpresser eine Installation der Forensoftware phpBB nach dem oben beschriebenen Muster manipuliert. Eine Übersicht der eingebauten Krypto-Funktionen findet man im Blog-Beitrag der Sicherheitsfirma. In diesem Fall meldeten sich die Täter schon nach zwei Monaten beim Betreiber. Sie verschafften sich offenbar mit gültigen FTP-Zugangsdaten Zugriff auf den Server.

(rei)