CryptoWall weiter verbreitet als CryptoLocker
CryptoLocker scheint vorerst außer Betrieb zu sein – und sein weniger bekannter Zwilling CryptoWall tritt aus seinem Schatten hervor. In einem Zeitraum von rund fünf Monaten hat CryptoWall so 625.000 Opfer weltweit infiziert, 5,25 Milliarden Dateien verschlüsselt und mehr als 1,1 Millionenen US-Dollar in Lösegeldern gesammelt. Dies geht aus einer Analyse des SecureWorks-Forschers Keith Karvis hervor. Demzufolge hat CryptoWall seinen berühmteren Zwilling bereits jetzt hinsichtlich der Infektionsraten übertroffen.
„CryptoWalls Verbreitung ist in vieler Art anders, aber es wurden in einer drei Monaten kürzeren Zeitspanne 80.000 Geräte mehr infiziert als durch CryptoLocker – einfach, weil es beabsichtigt war. CryptoLocker hätte bereits Millionen von Geräten infizieren können, wenn es gewollt gewesen wäre – aber die Entscheidung war anders ausgefallen.“
CryptoWall ist zwar hinsichtlich der Infrastruktur und der Malware weniger technisch ausgeklügelt als CryptoLocker, aber deswegen nicht weniger gefährlich. Die Lösegeldeinnahmen fallen jedoch kärglicher aus.
„Obwohl CryptoWall 15 Prozent mehr Geräte in der Hälfte der Zeit infiziert hat, hat es bisher nur 37 Prozent der Einnahmen von CryptoLocker erzielen können“, so Jarvis. „Das ist der Unterschied zwischen hochprofessionellen Kriminellen (wie der Gameover-Zeus-Gruppe), die ein Dutzend verschiedener PrePaid-Karten pro Tag akzeptieren, einlösen und reinwaschen können, und weniger professionellen Angreifern, wie den CryptoWall-Betreibern. Diese nehmen derzeit nur Bitcoins an.“
Opfer von CryptoWall zahlen normalerweise 200 bis 2.000 US-Dollar Lösegeld für die Entschlüsselung ihrer Dateien. Ein Opfer berichtet von einem Betrag von 10.000 US-Dollar.
„Wir waren überrascht, als wir von dem Fall mit 10.000 US-Dollar hörten“, so Jarvis. „Wir wissen bisher nicht, weshalb in diesem Fall so viel Lösegeld gefordert wurde oder um was für eine Organisation es sich handelt. Wir wissen nur, dass dieses Opfer aus den USA stammt und im Mai gezahlt hat.“
CryptoWall ist seit mindestens November 2013 im Umlauf. Dabei wird es über verschiedene Wege verbreitet: Über Browser-Exploit-Kits und Drive-by-Downloads bis hin zu bösartigen E-Mail-Anhängen. Seit März ist die letzte Variante die am meisten genutzte. Über das Cutwail-Spam-Botnet werden Download-Links gesendet, die meist über den Upatre-Downloader laufen, der auch für die Verbreitung von Gameover Zeus genutzt wurde.
Ursprünglich wurden hauptsächlich Rechner in Asien und im Nahen Osten befallen, inzwischen gibt es „aber in fast jedem Land mindestens ein Opfer“. Die meisten Infektionen treten in den USA auf, da das Cutwail-Botnet hauptsächlich auf englischsprachige Nutzer abzielt.
Artikel von 29.08.2014: CryptoWall surpasses CryptoLocker in infection rates