Cyberangriff gescheitert: Reichsadler Cybercrime Group fordert 460 Euro Lösegeld

Die Reichsadler Cybercrime Group fordert nach Ransomware -Angriffen offenbar nur 0,018 Bitcoin an Lösegeld. Erfolgreich war sie zuletzt nicht.

14. Oktober 2023 um 11:02 Uhr / Marc Stöckel

1 Kommentare News folgen (öffnet im neuen Fenster)

Die Reichsadler Cybercrime Group nutzt eine Schwachstelle in WS_FTP aus. (Bild: THOMAS KIENZLE/AFP via Getty Images) — Die Reichsadler Cybercrime Group nutzt eine Schwachstelle in WS_FTP aus. Bild: THOMAS KIENZLE/AFP via Getty Images

Sicherheitsforscher von Sophos haben eine Ransomware-Kampagne aufgedeckt, bei der die Reichsadler Cybercrime Group genannten Angreifer versucht haben, eine kürzlich vom Moveit-Entwickler Progress gepatchte kritische Schwachstelle auszunutzen, um IT-Systeme von Unternehmen zu infiltrieren. Obwohl es den böswilligen Akteuren gar nicht gelungen war, Daten zu verschlüsseln, fanden die Forscher für deren Entschlüsselung eine Lösegeldforderung in Höhe von nur 0,018 Bitcoin (BTC) – nach aktuellem Kurs rund 460 Euro.

Wie die Forscher berichten(öffnet im neuen Fenster) , setzten die böswilligen Akteure eine Ransomware ein, die auf dem Quellcode von Lockbit 3.0 basierte. Jedoch sei eine Sicherheitssoftware von Sophos in der Lage gewesen, den Download der Malware zu erkennen und zu unterbinden. "Die Verhaltensschutzregel C2_10a von Sophos stoppte den Download der Ransomware in der Kundenumgebung, als ein verdächtiges Skript eine ausgehende Verbindung zu einem hochriskanten URI herstellte" , erklären die Sicherheitsforscher.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Mit Power Apps und Power Automate zu Power-Produktivität

zum Artikel

Karriere Ratgeber: Microsoft Cloud verwalten auf höchstem Niveau

zum Ratgeber

Seminar: T.I.S.P. – Zertifikatskurs TeleTrusT Information Security Professional: virtueller Fünf-Tage-Workshop

zum Kurs

E-Learning: Network-Hacking (E-Learning in English)

zum Kurs

Eine ungewöhnlich niedrige Lösegeldforderung

In einer Lösegeldforderung(öffnet im neuen Fenster) , die das Sophos-Team nach einem missglückten Angriff fand, forderte die Reichsadler Cybercrime Group eine Zahlung in Höhe von 0,018 BTC für die Entschlüsselung der Daten – zu zahlen bis zum 15. Oktober 2023 um 22 Uhr MSK (Moskau Standardzeit). Die angegebene Zeitzone lässt vermuten, dass die Angreifer von Russland aus operierten. Möglicherweise ist dies aber auch ein Ablenkungsmanöver, um die tatsächliche Herkunft zu verschleiern.

Für den Erwerb der erforderlichen Bitcoin empfehlen die Akteure fünf namhafte Kryptowährungsbörsen wie etwa Binance oder Kraken. Etwas ungewöhnlich erscheint allerdings die Höhe des geforderten Geldbetrages, die umgerechnet bei gerade einmal 460 Euro liegt. Üblicherweise fordern Ransomware-Hacker weitaus größere Summen von mehreren Millionen Euro.

Schwachstelle mit maximal möglichem Schweregrad

Bei der von den Hackern ausgenutzten kritischen WS_FTP-Schwachstelle handelt es sich um CVE-2023-40044, bewertet mit einem maximal möglichen CVSS von 10. Darüber ist es Angreifern möglich, auf anfälligen Systemen aus der Ferne Schadcode auszuführen. Der Entwickler der Software hat schon Ende September einen Patch bereitgestellt .

Nur wenige Tage später tauchten erste PoC-Exploits (Proof of Concept) auf, die von Cyberkriminellen seither aktiv eingesetzt werden, um ungepatchte Systeme zu infiltrieren. Eine Shodan-Suche(öffnet im neuen Fenster) zeigt, dass derzeit fast 2.000 WS_FTP-Server über das Internet erreichbar sind. Die meisten davon sind zwar in den USA stationiert, Deutschland steht mit 77 Systemen aber immerhin auf dem dritten Platz.