Bitdefender beschreibt die laufende Kampagne als Beispiel dafür, wie Ransomware-Angriffe ohne die typischen Merkmale großer Erpressungsoperationen auskommen können. Sicherheitsanalystin Alina Bizga schrieb in einem Bericht in dieser Woche, selbst relativ einfache Schadsoftware könne zu einer ernsten Bedrohung werden, wenn sie mit glaubwürdiger Social-Engineering-Täuschung kombiniert werde.

Der Angriff beginnt laut Bitdefender mit Phishing-Mails, die sich als Nachricht von Interpol ausgeben. Darin heißt es, die Organisation des Empfängers stehe wegen verdächtiger Vorgänge unter Untersuchung. Die Täter behaupten zudem, Interpol-Ermittler hätten Informationen und Videobeweise zu kriminellen Handlungen mit Bezug zur betroffenen Organisation erhalten. Diese Inszenierung soll den Eindruck einer dringenden behördlichen Angelegenheit erzeugen.

Anschließend werden die Empfänger aufgefordert, ein passwortgeschütztes Archiv von Proton Drive herunterzuladen, angeblich um das Beweismaterial zu prüfen. Wird das Archiv geöffnet, installiert es eine Ransomware-Nutzlast, die als unauffällige Videodatei getarnt ist. Die Malware verschlüsselt lokale Systeme und fordert die Opfer auf, sich über die Peer-to-Peer-Messaging-Plattform Tox mit den Angreifern in Verbindung zu setzen, um die Zahlung zu verhandeln.

Die Analyse der Nutzlast durch Bitdefender ergab laut Bizga eine einfache, aber wirksame Ransomware-Variante. Der Code enthalte fest einprogrammierte Werte, darunter das bei Ver- und Entschlüsselung verwendete Passwort, und es fehlten viele Funktionen, die sonst mit großen Ransomware-Operationen verbunden seien.

Gegenüber Dark Reading hob Bizga einen weiteren Punkt hervor: Die Täter nennen zunächst keine feste Lösegeldforderung. Erst wenn eine betroffene Organisation über Tox Kontakt aufnimmt, beginnen die Verhandlungen. Dieser Ansatz entspreche laut Bizga einer Taktik, die im Ransomware-Umfeld zunehmend zu beobachten sei: Statt von allen Opfern denselben Betrag zu verlangen, nehmen Angreifer zunächst Kontakt auf und passen ihre Forderungen an die Größe der kompromittierten Organisation und deren vermutete Zahlungsfähigkeit an.

Nach Bitdefenders Einschätzung scheinen viele der anvisierten Organisationen kleine Unternehmen zu sein, die oft davon ausgehen, für Ransomware-Gruppen kein attraktives Ziel zu sein. Bizga bezeichnete genau das als verbreiteten Irrtum unter kleinen Firmen.

Zur Einordnung verweist der Bericht auf Zahlen anderer Anbieter. Laut CrowdStrikes State of SMB Cybersecurity Survey waren kleinere Organisationen überproportional häufig von Cyberangriffen betroffen: 29 Prozent der befragten kleinen und mittleren Unternehmen mit weniger als 25 Beschäftigten wurden von Ransomware-Angriffen getroffen. Zwar gaben 94 Prozent der Führungskräfte in kleinen und mittleren Unternehmen an, sich der Cyberbedrohungen sehr bewusst zu sein, doch zwei Drittel nannten fehlendes Budget als Grund dafür, keine Sicherheitsverbesserungen umgesetzt zu haben. Sophos wiederum erklärte in seinem jährlichen Bedrohungsbericht, dass Ransomware 70 Prozent der von dem Unternehmen untersuchten Sicherheitsvorfälle bei kleinen Unternehmen und mehr als 90 Prozent bei mittelgroßen Organisationen ausmachte.

Bizga verwies zudem auf aktuelle Bitdefender-Untersuchungen, wonach 55 Prozent der Organisationen Sicherheitsverletzungen nicht melden, obwohl ihnen bewusst sei, dass sie dies tun sollten. Diese ausbleibenden Meldungen erschwerten es der Sicherheitsgemeinschaft, das tatsächliche Ausmaß solcher Angriffe zu verstehen, und gäben Angreifern mehr Gelegenheiten, erfolgreiche Taktiken gegen weitere Organisationen erneut einzusetzen.