Erpressungstrojaner (sogenannte Ransomware) gehören fraglos zu den nervigsten Schädlingen, die man sich im Netz einfangen kann. Die Programme verschlüsseln zunächst die Dateien auf der Festplatte, anschließend fordern die Kriminellen von den entsetzten Nutzern ein Lösegeld, wenn diese wieder Zugriff auf ihre Fotos oder Dokumente haben wollen. Experten raten eindringlich von einer Zahlung ab, doch viele Nutzer überweisen die geforderte Summe dennoch aus Angst vor einem totalen Datenverlust. Das macht das Geschäft für die Kriminellen so lukrativ.

Trojaner mit Filmbezug

Die Sicherheitsforscher von Sophos haben nun eine neue Variante eine Lösegeldtrojaners namens "Snatch" entdeckt. Diese hat eine bislang noch nicht bekannte Angriffsmethode parat, um Antivirensoftware auszuhebeln: Sobald sich der Schädling in einem Computer mit Windows-Betriebssystem eingenistet hat, richtet er einen Dienst ein, der sich als Backup-Dienst tarnt. Anschließend wird der Rechner im abgesicherten Modus neugestartet, in dem Antiviren- und andere Schutzprogramme nicht aktiv sind. Auf diese Weise kann der Trojaner in Ruhe alle Kopien von Laufwerken löschen, um eine Wiederherstellung der Daten zu verhindern - und anschließend ungestört die Festplatte verschlüsseln.

Benannt ist die "Snatch"-Software übrigens nach dem gleichnamigen Film von Guy Ritchie aus dem Jahr 2000. Denn in früheren Versionen der Schadsoftware enthielt die Lösegeldsoftware die E-Mail-Adresse "imboristheblade@protonmail.com" - in dem Gangsterfilm trägt die Figur Boris Yurinov, örtlicher Vertreter der Mafia und Ex-KGB-Agent, den Beinamen "The Blade".

Neuer Trend bei Cyberkriminellen

"Neben der neuen Angriffstaktik belegt ein weiterer interessanter Fund, dass sich ein anderer Trend fortzusetzen scheint: Kriminelle filtern immer häufiger Daten heraus, bevor die eigentliche Ransomware-Attacke startet. Die entwendeten Daten könnten zu einem späteren Zeitpunkt für Erpressungen, auch in Zusammenhang mit der DSGVO, verwendet werden", warnen die Experten. "Wir gehen davon aus, dass sich derartige Hybride aus Daten-Diebstahl und Ransomware in Zukunft häufen werden", so Michael Veit, IT-Sicherheits-Experte bei Sophos.

Entdeckt wurde der Trojaner bereits vor mehr als einem Jahr, vermutlich ist er seit Sommer 2018 aktiv. Durch die jüngst implementierte Funktion, das Windows-Betriebssystem im abgesicherten Modus zu starten, ist er aber noch einmal deutlich gefährlicher geworden.

Quelle: Sophos