Sicherheit + Datenschutz 22. April 2020 6 Min Lesezeit

Hacker-Gang DoppelPaymer erpresst amerikanisches Militärunternehmen

Geschrieben von
Roger Klein
hacker code passwort cloud kreditcard

Die Ausgangslage kommt uns bekannt vor: Hacker dringen unbefugt ins System ein und erpressen das Opfer um Lösegeld. Bei Nichtzahlung wandern vertrauliche Informationen öffentlich ins Netz. Der neuste Fall betrifft das amerikanische Unternehmen «Visser Precision». Der Zulieferer des US-Militärs wurde von der Hacker-Gang DoppelPaymer erpresst und weigerte sich zu zahlen. Daraufhin fanden sich streng geheime Unterlagen zu einem Mörsergranaten-Abwehrsystem im Internet.

Wie kann es sein, dass sogar Grosskonzerne — prädestiniert in Sachen Sicherheit — Opfer von Hackern werden? Wir begeben uns auf Spurensuche und beleuchten Methodik und Hintergründe solch erfolgreicher Hacker-Gangs, denn Wissen ist bereits die halbe Miete.

Der Fall Visser Precision

Der amerikanische Konzern produziert Präzisionsbauteile unter anderem für die Luft- und Raumfahrtindustrie. International bekannte Marken wie Tesla und Boeing gehören ebenfalls zum Kundenstamm. Dass auch das US-Militär zum Kundenkreis zählt, spricht für höchste Sicherheitsstandards in allen Bereichen der Arbeitsprozesse.

Trotzdem gelang es der Hacker-Gang DoppelPaymer, das Unternehmen zu infiltrieren. Sie gelangten an gut gehütete Daten über Spezifikationen zur Abwehr von Mörsergranaten — weitere militärische Unterlagen wie Zulieferer-Informationen und Rechnungen sollen ebenfalls zur Beute gehört haben. Die Hacker forderten ein hohes Lösegeld von Visser, doch das Unternehmen weigerte sich zu zahlen. Daraufhin wanderten alle gestohlenen Informationen auf die Website von DoppelPaymer — öffentlich zugänglich für alle.

Die Geschichte der Hacker-Gang

Im Zusammenhang mit Ransomware-Angriffen tritt DoppelPaymer immer öfter in Erscheinung. Die Verbrecherbande hat mit einem eigenen Eintrag im offiziellen Malware-Wiki traurige Berühmtheit erlangt. Als Teil der BitPaymer-Familie zählt sie zur Kategorie der sogenannten Cryptolocker.

DoppelPaymer trat im April 2019 erstmals auf die Bildfläche der Hacker-Szene und nennt sich mittlerweile als Urheber von mindestens 8 Malware-Varianten vom Typ Trojaner und Ransomware. Die bevorzugte Angriffsplattform ist Windows. Ende 2019 erpressten sie eine mexikanische Ölgesellschaft um 4,9 Millionen US-Dollar. Im Februar 2020 ging deren Homepage zur Veröffentlichung gestohlener Daten online — kurz darauf wurde am 26.02.2020 der Cloudservice-Anbieter «Bretagne Telekom» gehackt.

Allen Machenschaften der DoppelPaymer-Gang ist gemeinsam, dass die Erpressung auf Public Shaming setzt. Wer nicht zahlt, soll so blossgestellt werden, dass das betroffene Unternehmen den grösstmöglichen Schaden an Ruf und Vertrauen erleidet. Teilweise wird auch damit gedroht, Daten an die Konkurrenz oder ins Darknet zu verkaufen.

Cryptolocker

Hier handelt es sich um Ransomware, bei der der Computer mit einem Trojaner infiziert wird. Nach der Installation verschlüsselt der Cryptolocker bestimmte Dateien — der Zugriff wird gesperrt, die Daten unbrauchbar. Beim nächsten Start erscheinen statt dem gewohnten Bildschirm die Lösegeld-Forderungen. Die Verschlüsselung lässt sich angeblich nur durch Zahlung rückgängig machen — dann erhält das Opfer den Entschlüsselungscode.

Solche Trojaner verbreiten sich am häufigsten über infizierte E-Mail-Anhänge. Wer den enthaltenen Link anklickt oder die beigefügte Datei öffnet, führt den Cryptolocker aus. Die eigentlich schädliche Datei bleibt dabei gut versteckt, weil Windows Namenserweiterungen im Standardverhalten ausblendet.

Hacker verteilen Ransomware grossflächig

E-Mails sind die beliebteste Methode — aber bei weitem nicht die einzige. Nachfolgend die bekanntesten Verbreitungswege, die auch Gangs wie DoppelPaymer nutzen:

Unabhängig davon, auf welchem Weg der Schädling auf den Rechner gelangt, lassen sich ein paar Unterkategorien von Ransomware unterscheiden, die jede:r kennen sollte. Sie unterscheiden sich vor allem in ihrer Funktionalität — und die Art bestimmt auch die beste Gegenmassnahme.

Botnets

Eine Gruppe automatisierter Schadprogramme verteilt sich über alle vernetzten Rechner. Je grösser das Netzwerk, desto höher die Schadenswirkung und desto schneller die Ausbreitung. Botnets erlangen ohne Einverständnis des Administrators Zugriff auf alle Ressourcen und Daten.

Exploits

Das Wort bedeutet schlicht «ausnutzen» — und genau das tut diese Ransomware-Variante: Systematisch nutzt sie Schwachstellen in Programmen aus. Bekannte Fehlfunktionen und Sicherheitslücken werden mit Hacker-Codes infiltriert.

Adware

Am treffendsten lässt sich der Begriff als bösartige Werbung übersetzen. Die Gefahr ist hier besonders gross, weil im Grunde jede Person im Internet Anzeigen schalten kann. Adware kann die Startseite des Browsers verändern, Sucheingaben manipulieren oder ohne aktive Eingabe auf fremde URLs umleiten.

Web-Injects

Eine solche «Injektion» ähnelt einem Exploit. Sie sitzt auf einer infizierten Website und verändert deren Inhalt oder Funktionsweise für eigene Zwecke. Besonders betroffen sind Webseiten mit Bugs, Programmierfehlern oder einem Client, der bereits von Schadsoftware infiziert ist.

Gefälschte Updates

Der Weg zum schädlichen Produkt ist vielfältig: per Mail-Anhang, über einen gefälschten Link oder eine gehackte Website. Das geladene Update erfüllt nicht den Zweck, für den du es installieren wolltest. Ein klares Indiz für Fälschungen sind Pop-Ups, die darauf hinweisen, dass genutzte Software veraltet sei und dringend aktualisiert werden müsse — getarnt als Windows-eigene Meldungen. Auch eine angebliche Virenwarnmeldung, die nicht von der installierten Antivirensoftware stammt, kann eine Falschmeldung sein.

Infizierte Installationsprogramme

Wer gerne Freeware nutzt, kann hier in die Falle tappen. Auch als «Cranchit» bekannt, enthalten kostenlose Installationsprogramme manchmal Zusatzoptionen, die weit über die eigentliche Funktion der Software hinausgehen. Bei Aktivierung dieser Zusatzfunktionen erhält der Cranchit weitreichende Zugriffsrechte — die du ursprünglich nur der Standardversion einräumen wolltest.

Dasselbe Wissen nutzen

Spätestens jetzt ist klar, wie Hacker agieren und welcher Mittel sie sich bedienen. Was lässt sich daraus machen? Lockheed Martin, Mitarbeiter von Visser Precision und Erfinder des Abfangsystems, dessen Spezifikationsdaten DoppelPaymer stahl, sagte in einer Pressemitteilung: «Wir folgen unseren Standardabläufen für die Reaktion auf potenzielle Cyberangriffe.» Wie dieser Standardablauf genau aussieht, wollte er allerdings nicht verraten.

Wenn wir unser gesammeltes Wissen bündeln und gezielt einsetzen, haben wir bereits einige Ideen zur Hacker-Abwehr. Wir kennen die Angriffsmethoden, wir kennen die Mittel — und wir wissen, wie die Gangs vorgehen. Daraus lässt sich eine ausreichende Methodik entwickeln, um nicht selbst Opfer zu werden und es Hackern zunehmend schwerer zu machen.

Einen Standardablauf definieren

Erinnerst du dich noch an unseren Blog-Artikel zum Trojaner-Befall in Neustadt? Falls nicht, lohnt sich ein neues Lesen — vor allem der letzte Abschnitt «Aus Fehlern der Vergangenheit lernen». Neben Schulung der Mitarbeiter, Definition von Sicherheitsrichtlinien und der Wahl eines Ansprechpartners für den Notfall gibt es weitere Tipps, um dich vor Hacker-Angriffen zu schützen.

  1. Hab keine Angst vor Public Shaming. Wer Angst zeigt oder auf Lösegeld-Forderungen eingeht, bietet den Hackern eine noch grössere Angriffsfläche.
  2. Informiere deinen Kundenstamm, falls dein System gehackt wurde. Nutze dafür alternative Kommunikationswege, um die Schadsoftware nicht weiter zu verbreiten.
  3. Melde Erpressungsversuche unverzüglich bei deiner Strafbehörde. Viele Behörden haben eigene Abteilungen für Cyberkriminalität.
  4. Stellst du einen Befall fest, trenne den betroffenen Rechner sofort vom restlichen Netzwerk.
  5. Verwende für die Installation und Updates von Software ausschliesslich offizielle Webseiten und direkte Links.
  6. Lass dich nicht von Pop-Ups oder Bannern irreführen. Einzig deine Antiviren-Software und das Betriebssystem selbst sind dafür zuständig, Befall oder erforderliche Aktualisierungen anzuzeigen.
  7. Beim Bezug von Freeware wähle ebenfalls offizielle oder durch Prüfsiegel verifizierte Webseiten — und nutze einen Virenscanner, der den Download vor der Installation prüft.
  8. Siehst du plötzlich Werbung auf sonst werbefreien Flächen oder vertrauten Websites, kann das bereits ein Indiz für einen Befall sein.
  9. Öffne keine E-Mail-Anhänge von unbekannten Absendern, die im Text ein Passwort mitliefern, das zum Öffnen des Anhangs nötig ist. Dieses Verfahren sollte ausschliesslich für bestehende und bereits verifizierte Kundenkontakte gelten.
Tags: CybercrimeMalware
Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2020-06-02 Datenschutzpannen im Gesundheitswesen durch menschliches Versagen 2013-02-26 Für Cyber-Angriffe ist gestern morgen… 2020-11-06 Covid Cybercrime: auch Kriminelle ändern ihr Verhalten

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG