Gezielte Ransomware

Die konventionellen Methoden, mit denen Ransomware Systeme infiziert, sind bösartige Downloadprogramme, die über Drive-by-Downloads und schädliche Spam-E-Mails verteilt werden. Sobald das System eines Benutzers mit einem bösartigen Downloader infiziert wurde, lädt dieses Programm zusätzliche Malware herunter, die häufig Crypto-Ransomware enthält. Die schädlichen E-Mails enthalten verschiedene Dateianhänge. Wenn diese geöffnet werden, laden sie eine der zahlreichen Ransomware-Varianten herunter und führen sie aus, um den Verschlüsselungsvorgang zu starten. Nachdem die Dateien verschlüsselt wurden, wird vom Opfer eine Lösegeldzahlung gefordert, um die Dateien wieder zu entschlüsseln.

Anders als bei eher konventioneller Ransomware wird Samsam nicht über Drive-by-Downloads oder E-Mails verteilt. Stattdessen setzen die Angreifer, die sich hinter Samsam verbergen, Tools wie Jexboss ein, um Server mit fehlenden Patches ausfindig zu machen, auf denen JBoss-Enterprise-Produkte von Red Hat laufen.

Sobald sich die Angreifer durch Ausnutzung von Sicherheitslücken in JBoss erfolgreich Zugang zu einem dieser Server verschafft haben, erfassen sie mithilfe frei verfügbarer Tools und Skripts Zugangsdaten und sammeln Informationen auf vernetzten Computern. Anschließend installieren sie ihre Ransomware, um Dateien auf diesen Systemen zu verschlüsseln, bevor sie Lösegeld fordern.

Die Samsam-Ransomware unterscheidet sich noch in einem weiteren Aspekt von anderer Erpressersoftware: Das RSA-Schlüsselpaar wird von den Angreifern selbst erzeugt. Die meiste Crypto-Ransomware kontaktiert einen Command-and-Control-Server, der ein RSA-Schlüsselpaar erzeugt und den öffentlichen Schlüssel zurücksendet, um Dateien auf den infizierten Computern zu verschlüsseln. Bei Samsam generieren die Angreifer das Schlüsselpaar und laden den öffentlichen Schlüssel zusammen mit der Ransomware auf die Zielcomputer.