Die Analyse einer russischen Ransomware-Kampagne zeigt, wie einfach es für Kriminelle ist, Angriffe mit Erpresser-Trojanern durchzuführen. Die Investitionen sind gering, das Risiko ist klein. Stimmt auch die Kasse der Cybergangster?

In jüngster Zeit mehren sich die Berichte über Angriffe mit sogenannter Ransomware. Dabei handelt es sich um Schad-Programme, die auf einem befallenen Computer Daten verschlüsseln und für die Freigabe Lösegeld verlangen. Zwei der aktuell größten Bedrohungen sind die Erpresser-Trojaner "CryptXXX" und "Locky". Wie solche Aktionen organisiert werden und was die Kriminellen dabei verdienen können, hat das Sicherheitsunternehmen Flashpoint untersucht.

Die auf Deep- und Darknet-Aktivitäten spezialisierten Forscher haben eine russische Ransomware-Kampagne seit Dezember 2015 analysiert. Ihre Arbeit zeigt unter anderem, dass die Entwickler der Schad-Software keine weiteren Komplizen mit größeren Hacker-Fähigkeiten benötigen. Sie bieten "Ransomeware as a Service" an. Das heißt, der Boss stellt seinem Fußvolk den Erpresser-Trojaner und Anleitungen zur Verfügung, mit denen sie für ihn den Schädling verbreiten. Die Wege dafür sind Botnetze, Phishing-Kampagnen und Filesharing-Websites.

Wie wenig Vorwissen seine "Mitarbeiter" benötigen, zeigt das Job-Angebot des russischen Ransomware-Bosses. Er suche Leute, die in ihrer Freizeit viel Geld über "einen nicht ganz rechtschaffenen Weg" verdienen möchten. Minimale Vorkenntnisse seien von Vorteil, aber nicht unbedingt nötig, schreibt er. "Ihr bekommt genaue Instruktionen, was wie zu tun ist. Auch ein Schuljunge würde das hinbekommen." Als Ziel gibt der russische Cybergangster westliche Unternehmen und Einzelpersonen an.

Keine großen Fische

Auf diese Weise kann ein kleiner Fisch im Ransomware-Geschäft laut Flashpoint-Analyse rund 600 Dollar im Monat ohne großen Aufwand verdienen. Etwa zehn bis 15 Wasserträger beschäftigt der Boss, der mindestens seit 2012 im Geschäft sein soll. Sein geschätztes Jahreseinkommen liegt bei 90.000 Dollar, er kassiert also 7500 Dollar im Monat. Dafür benötigt der Cybergang-Leader durchschnittlich 30 Opfer pro Monat, die im Schnitt 300 Dollar bezahlen. Das Risiko, erwischt zu werden, stuft Flashpoint als gering ein.

Das richtig große Geld verdienen die russischen Cyberkriminellen also nicht, aber sie können gut von ihrem Erpresser-Geschäft leben. Der offiziellen Statistik zufolge betrug der durchschnittliche Bruttomonatslohn in der russischen Föderation 2015 nur knapp 500 Euro. Der Boss der beobachteten Gang gehört aber wahrscheinlich nicht zu den ganz großen Fischen. Er hat bei mindestens einem Opfer zweimal abkassiert, was laut Flashpoint ein Zeichen für wenig geschäftliches Geschick ist. Denn in der Branche gilt: Wenn die Opfer sicher wissen, dass ihre Daten nach der Überweisung des Lösegelds wieder erreichbar sind, bezahlen sie bereitwilliger.