• Skip to primary navigation
  • Skip to content
  • Skip to primary sidebar
  • Skip to footer
  • Über uns
  • Werben
  • renditemacher.de
  • hoeschl.net
  • Mail-Icon
  • RSS-Icon
  • G+-Icon
  • Twitter-Icon
  • Facebook-Icon

Blog für den Onlinehandel

das Zentralorgan der deutschen Onlinehändler-Szene

Deutschlands bekannteste Verkaufsbörse für Onlineshops
  • News & Artikel
  • Know how & kostenlose Downloads
  • Kostenlose Händler-Tools
  • Onlineshop oder Amazongeschäft verkaufen
Aktuelle Seite: Startseite / IT-Sicherheit / „Lösegeld“-Forderungen als neue Cyber-Crime-Masche
1

„Lösegeld“-Forderungen als neue Cyber-Crime-Masche

4. Februar 2015 von Nicola Straub

Dieser Artikel wird Ihnen vorgestellt von:- Anzeige -

Logo MarktPlatz1MarktPlatz1

MarktPlatz1 ist eine der renommiertesten Full-Service-Amazon-Agenturen im DACH-Raum mit Sitz in Salzburg und München und unterstützt zahlreiche Hersteller, Marken und Händler beim erfolgreichen Verkauf und professionellen Markenauftritt auf Amazon.

2020 hat MarktPlatz1 mit ihrer Akademie eine eigene e-Learning-Plattform ins Leben gerufen.

Mehr über MarktPlatz1 erfahren

ErpresserbriefHeise berichtet über eine neue Masche von Cyber-Kriminellen. Dabei fordern diese von Websitebetreibern „Lösegeld“. Der Erpressung zugrunde liegt allerdings glücklicherweise  keine Entführung von Menschen. Bei diesem, „RansomWeb-Attacke“ getauften, Angriff werden stattdessen „Daten entführt“:

Zunächst verschaffen sich die Angreifer Zugang zu den Servern einer geschäftskritischen Web-Applikation. Hier manipulieren sie dann diverse Skripte dahingehend, dass alle Datensätze nur noch verschlüsselt abgespeichert werden. Zusätzlich werden auch die vorhandenen Datensätze verschlüsselt. Der zugehörige Schlüssel liegt dabei auf Servern der Angreifer und wird via HTTPS geladen, so dass er nicht im Klartext übertragen (und im  Traffic mitschneidbar) wird.

Nach einer geraumen Zeit erst – in einem Fall waren es sechs Monate! – löschen die Erpresser den Key von ihrem Server und erpressen den Websitebetreiber nach dem Muster: „Geld für den Key“. Die lange Wartezeit hat es in sich: In der gesamten Zeit wurden alle Datenbankeinträge verschlüsselt gespeichert, während ältere Backups oft bereits überschrieben worden sind.

Ablauf der Angriffe

Den genauen Ablauf beschreibt das Schweizer Sicherheitsunternehmen High-Tech Bridge, das diese neue Erpressungsmethode bei zwei Kunden untersucht hat, so (eigene Übersetzung):

  • Die Web-Applikation wurde sechs Monate zuvor angegriffen, mehrere Serverskripte wurden verändert, um Daten vor dem Speichern in die sowie nach dem Auslesen aus der Datenbank zu verschlüsseln. Die bedeutete eine Art “on-fly”-Patching, das für die Nutzer der Applikation unsichtbar war.
  • Dabei wurden nur einige der wichtigsten Felder der Datenbanktabellen verschlüsselt (vermutlich um die Performance der Web-Applikation nicht zu sehr zu beeinträchtigen). Alle bereits vorhandenen Databank-Inhalte wurden auf die gleiche Weise verschlüsselt.
  • Der Verschlüsselungs-Key wurde auf einem externen Server gespeichert und nur per HTTPS zugänglich gemacht (vermutlich um ein Abfangen des Schlüssels durch Traffic Monitoringsysteme zu verhindern).
  • Sechs Monate lang warteten die Hacker still, während Backups mit der kompromittierten Version der Datenbank überschrieben wurden. Am Tag X entfernten die Hacker den Verschlüsseltungs-Key vom externen Server. Damit wurde die Datenbank unbrauchbar, die Website funktionierte nicht mehr und die Hacker verlangten Lösegeld für den Verschlüsselungs-Key.

Opfer wurde zunächst ein Finanzdienstleister, von dem auf diese Art udn Weise 50.000 Dollar gefordert wurden. Etwas später wurde der Betreiber eines phpBB-Forums mit derselben Methode erpresst. Das Forum diente des Kundenservices und war damit unternehmenskritisch für den Anbieter. Hier reichte den Angreifern eine Wartezeit von nur zwei Monaten, bevor sie sich mit der Löschung des Schlüssels und ihrer Forderung ans Licht traten. In diesem Fall dokumentiert Hight-Tech-Bridge genau, welche Skripte wie zur Verschlüsselung von Usernamen und Mailadressen manipuliert wurden. Dieser Angriff wurde übrigens mittels regulärer FTP-Zugänge ausgeführt, deren Passwörter sich die Hacker verschafft hatten. Die Forensoftware selbst war fehlerfrei.

Mit Sorgfalt leicht erkennbar

Hight-Tech-Bridge weist darauf hin, dass die Veränderungen an Skripten und Datenbank vergleichsweise einfach und schnell detektierbar sind: Wer seine Applikationen regelmäßig updatet und seine Skripte mittels File Integrity-Monitoring überwacht, wird einen solchen Angriff sofort bemerken. Allerdings:  wer tut dies wirklich?

Das Risiko der leichten Entdeckbarkeit gehen die Angreifer u. U. gern ein. Denn auf der anderen Seite kann derjenige, der Opfer einer solchen Manipulation geworden ist, praktisch gar nichts anderes tun, als zu zahlen, warnt High-Tech-Bridge:

Backups helfen nicht viel, denn die Datenbank wird im verschlüsselten Zustand gesichert, während der Verschlüsselungs-Key remote gespeichert ist und nicht mitgesichert wird. Eine Wiederherstellung ist ohne Bezahlung des Lösegeldes nahezu unmöglich, weshalb die Opfer keine andere Chance haben, als die Angreifer zu bezahlen.

Bleibt nur zu hoffen, dass RansomWeb-Angriffe vorerst exotisch bleiben. Man sollte die vorliegenden Beispeile jedoch als ein dezentes Zeichen nehmen, um das Hosting der eigenen Systeme kritisch zu überdenken, Update-Fristen zu verkürzen und das ggf. Monitoring zu verbessern.

Herzlich aus Hürth
Nicola Straub

  • teilen  
  • twittern  
  • teilen 
  • teilen 
  • mitteilen 
  • E-Mail 
  • drucken 
1 Star2 Stars3 Stars4 Stars5 Stars (Noch keine Bewertungen)
Lädt...

Auch interessant

  • NebelmosterDSGVO: Dem Monster ins Gesicht sehen
  • Nachgefragt: DDoS-Schutzgelderpressung – was tun?Nachgefragt: DDoS-Schutzgelderpressung – was tun?
  • Ratgeber DDoS-Attacken – keine Panik, sofort reagierenRatgeber DDoS-Attacken – keine Panik, sofort reagieren
  • Sichere Bereitstellung von Online-Werbung: 10 Tipps vom IT-Sicherheitsexperten

Kategorie: IT-Sicherheit Stichworte: Datensicherheit, DDoS

Reader Interactions

Trackbacks/ Pingbacks

  1. Ein Überweisungsbetrug und seine (schönen) Folgen | Vireo - Mehr als grüne Elektronik sagt:
    23. Februar 2015 um 07:46 Uhr

    […] irgendwie noch nicht viel unternehmen. Inzwischen werden auch „Daten entführt“ und dafür wird ein Lösegeld gefordert. Im Sinne von „gebt mir 50.000 Euro oder eure Daten werden umgebracht“. Inzwischen kann man […]

Haupt-Sidebar (Primary)

Newsletter abonnieren

Über 7.000 Newsletter-Abonnenten erhalten bei neuen Artikeln eine kurze Infos ins Postfach. Kostenlos, jederzeit kündbar. Nutzen auch Sie diesen Infovorteil!

Keine Datenweitergabe!

Unsere Sponsoren

Logo shopware

Logo Datawow

Logo Händlerbund

Logo Plantymarkets

Unsere nächsten Vorträge

  • 30.09./01.10.20 plentymarkets #OHK2020
  • 13./14.10.20 AmazonWorld Convention in München

Beliebteste Artikel

  • Etablierte E-Commerce Agentur sucht Beteiligung aus Industrie oder Handel
  • Kurze Umfrage Amazon Business-Aufkäufer
  • Umfrage: Welcher Amazon-Aufkäufer ist der beste?
  • Verkaufsbörse: Shop für Wohnaccessoires zu verkaufen
  • Das große Marktplatz-Experiment Teil 2: Wie sich desiary.de innerhalb eines Jahres viele neue Absatzkanäle erschloss

Neueste Kommentare

  • Morning Briefing: DHL, Amazon-Apotheke, Coatue und Gorillas, Amazon CO2-neutral, Nordic Nest, Brexit und Lego, E-Commerce-Frustbarometer – E Commerce Agentur bei Black Friday ohne Rabatte? Wie man an Schnäppchen-Tagen geschickt auf der Welle surft
  • Robin bei Amazon veröffentlicht Zahlen zum Marktplatz: Die meisten KMus tun sich schwer
  • Denis bei Amazon veröffentlicht Zahlen zum Marktplatz: Die meisten KMus tun sich schwer
  • Peter Höschl bei Das müssen Händler für den Verkauf auf Otto Market mitbringen
  • Tristan Uhde bei Das müssen Händler für den Verkauf auf Otto Market mitbringen
  • Peter Höschl bei Zahlen prüfen lohnt sich – detailliertes Controlling führt leicht zu mehr Rendite

Hostingsponsor

Logo von Estugo

Footer

Newsletter abonnieren

Bei neuen Artikeln eine kurze Info ins Postfach, kostenlos, jederzeit kündbar. Keine Datenweitergabe!

Wichtige Links

  • Datenschutz
  • Impressum
  • Sponsoren
  • Werben
  • Archiv

Schlagwörter

Abmahnung Amazon Amazon Förderprogramm amazon marketplace Businessplanung Controlling Datenschutz E-Commerce Analyse ebay Facebook Geschäftsklima Google Gütesiegel Internationalisierung Know-how Kundenbindung Local Heroes Logistik Magento Marktanalyse Marktplatz Marktplätze Multi Channel Open Source Shopsysteme Payment Preisportale Pressemitteilungen Presseschau Produktdarstellung Recht SEO Shop-Marketing shopanbieter to go Shop Software Shopsuche Social Commerce Sortimentssteuerung Stationärgeschäft Studien Usability Veranstaltungen Verkaufsbörse Weihnachtsgeschäft Weiterbildung Zukunft des Handels

Diese Website nutzt Cookies. Bitte treffen Sie hier Ihre Auswahl ODER nutzen Sie den Button, um zum Setzen der aller Cookies.

Unsere Datenschutzbelehrung finden Sie hier.

Blog für den Onlinehandel
Powered by  GDPR Cookie Compliance
Datenschutz: Cookies

Diese Website nutzt Cookies zur Realisierung von technischen Basisfunktionen sowie für Drittanbieterdienste wie Google Analytics.

Cookies sind kleine Textdateien, die vom Browser auf Ihrem Computer gespeichert und auch wieder ausgelesen werden.

Darüber können Funktionen wie beispielsweise die Wiedererkennung von Besuchern realisiert werden, Ihre persönlichen Einstellungen gehalten sowie statistische Daten gewonnen werden, wie beispielsweise Besucherströme, Lesegewohnheiten, Abrufzahlen von Artikeln.

Welche Cookies technisch notwendig sind und welche Cookies Sie an- oder abschalten können, sehen Sie hier.

Technisch notwendige Cookies

Technisch notwendige Cookies sollten immer aktiviert werden, damit die Website vernünftig funktioniert. So werden über solche Cookies Ihre persönliche Einstellungen - beispielsweise beim Kommentieren - gespeichert.

Daneben nutzen wir auch die Möglichkeit, Inhalte an die VG Wort zu melden, um so unseren Autoren eine (geringe) Einnahme über die Verwertungsgesellschaft zu bieten. IP-Adressen werden dabei von der VG Wort nur in anonymisierter Form verarbeitet. Die Datenschutzbelehrung der VG Wort finden Sie hier.

 

Wenn Sie die technisch notwendigen Cookies deaktivieren, können persönliche Einstellungen - beispielsweise beim Kommentieren - nicht gespeichert werden. Zudem werden Sie laufend erneut gebeten, Ihre Cookie-Einstellungen vorzunehmen und unseren Autoren entgehen u.U. Einnahmen durch die VG Wort..

Cookies von Drittanbietern

Wir nutzen Google Analytics, um Informationen zur Nutzung unserer Webangebote zu sammeln. Dies dient dazu, unsere für Sie kostenlosen Services laufend zu verbessern. Die Datenschutzbelehrung von Google finden Sie hier.

Bitte helfen Sie uns dabei, indem Sie die für diese Services notwendigen Cookies aktivieren. Danke!

Bitte aktivieren Sie die technisch notwendigen Cookies!