Wie Ransomware-Gangs nach Partnern suchen
Zwei prominente Foren haben Diskussionen rund um Ransomware verboten. Für Entwickler solcher Schadprogramme bedeutet dies, dass sie neue Wege finden müssen, um Partner anzulocken. Die Lösung: internetbasierte Marketing-Kampagnen.
Ein Schadprogramm ist letztlich nichts anderes als ein Stück Software. Auch Malware-Entwickler benötigen Unterstützung, wenn es um den Vertrieb geht. Früher suchten die kriminellen Entwickler auf Untergrundforen nach Partnern, die ihre Malware nutzen, um IT-Schrecken zu verbreiten. Da gewisse populäre Foren, wie etwa Exploit und XSS, Diskussionen rund um Ransomware nun verboten haben, müssen sich die Entwickler neue Methoden ausdenken, wie Bleepingcomputer berichtet.
Leistung und Benutzerfreundlichkeit
Zwei Ransomware-Gangs griffen auf eine Marketing-Massnahme zurück, die man auch in der legalen Welt gut kennt: eine Produktseite im Internet. Die Lockbit-Entwickler etwa bewerben ihr Schadprogramm auf ihrer Website als das weltweit schnellste Verschlüsselungs- und Datenraub-Tool.
Um diesen Claim zu belegen, veröffentlichten sie zudem einen Speed-Test, in dem sie ihre Malware mit anderen Konkurrenzprodukten vergleichen. Genauso wie man es auch von legaler Software kennt.
Die Ransomware-as-a-Service-Gruppierung Himalaya setzt derweil auf Benutzerfreundlichkeit, um neue Partner anzulocken. Nach eigenen Angaben sei ihr Schädling eine "bereits konfigurierte und kompilierte, nicht detektierbare (FUD) Verschlüsselungssoftware". Plug & P(l)ay also.
Ein Quasi-Partnerprogramm
In einer Perversion eines Partnerprogramms legt die Gruppe auch gewisse Spielregeln fest. So erhalten die Partner etwa eine Provision von 70 Prozent. Sie dürfen allerdings weder das Gesundheitswesen, noch öffentliche und gemeinnützige Organisationen angreifen.
Wenn mehr Foren Ransomware tabuisieren, dürften wohl auch mehr solcher Ransomware-Werbe-Sites im Netz auftauchen. Wie Bleepingcomputer weiter schreibt, dürften aber wohl nicht alle Gruppierungen auf diesen Zug aufspringen. Einige ziehen diskretere Werbemassnahmen vor. Die REvil-Gang etwa ziehe es vor, neue Beziehungen über das bestehende Partnernetz zu knüpfen.
Wenn eine Ransomware ein System infiziert, verschlüsselt sie sämtliche Daten auf dem Gerät und fordert anschliessend ein Lösegeld. Wer zahlt, hofft wohl auf seine Cyberversicherung. In der Schweiz sind solche Zahlungen (teilweise) gedeckt - allerdings nicht bei allen Versicherungen. Trotzdem sollten Unternehmen sich nicht auf solche Forderungen einlassen. Warum, lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.