Alphalocker

Überblick

AlphaLocker ist eine kostengünstig angebotene Ransomware-Operation, die auf dem quelloffenen Projekt EDA2 aufsetzt. Das Vorhaben richtet sich gezielt an Einsteiger im Bereich der Cyberkriminalität und senkt die Einstiegshürde, indem es Partnern (Affiliates) ein fertiges Paket zum Kauf bereitstellt. Dieses umfasst eine Administrationsoberfläche zur Verwaltung der Angriffe, eine ausführbare Ransomware-Datei sowie einen Generator zur Erzeugung der Entschlüsselungsschlüssel. Charakteristisch für AlphaLocker ist die niedrige Kostenschwelle, durch die auch technisch weniger versierte Akteure eigene Erpressungskampagnen durchführen können. Die Gruppe arbeitet nach dem Prinzip der doppelten Erpressung (Double Extortion): Daten werden nicht nur verschlüsselt, sondern zuvor entwendet, um zusätzlichen Druck auf die Betroffenen auszuüben. Die Verbreitung über ein quelloffenes Fundament und ein verkaufsfertiges Werkzeugset macht AlphaLocker zu einem niedrigschwelligen Angebot, das die kriminelle Nutzung von Ransomware breiteren Tätergruppen zugänglich macht.

Taktiken & Vorgehen

Für den Erstzugang setzt AlphaLocker auf zwei wesentliche Wege. Zum einen werden Schwachstellen in öffentlich erreichbaren Anwendungen ausgenutzt (Exploit Public-Facing Application), wobei fehlende Wartung und ausbleibende Aktualisierungen als Einfallstor dienen. Zum anderen kommt Phishing zum Einsatz: Über entsprechende E-Mails mit schädlichen Anhängen oder Links wird das Zielsystem kompromittiert. Nach dem Eindringen verfolgt die Gruppe eine Strategie der doppelten Erpressung. Daten werden vor der Verschlüsselung automatisiert (Automated Exfiltration) sowie über Webdienste (Exfiltration Over Web Service) abgezogen, verbunden mit der Drohung einer Veröffentlichung. Die zentrale Schadwirkung besteht schließlich in der Verschlüsselung der Opferdateien (Data Encrypted for Impact), die als Druckmittel für die Erpressung dient.

Schutzmaßnahmen

Öffentlich erreichbare Anwendungen sollten konsequent gewartet und zeitnah mit Sicherheitsaktualisierungen versehen werden, um die Ausnutzung bekannter Schwachstellen als Einfallstor zu verhindern. Gegen Phishing sollten eingehende E-Mails gefiltert sowie Anhänge und Links auf schädliche Inhalte geprüft werden; ergänzend sollten Mitarbeitende für den Umgang mit verdächtigen Nachrichten sensibilisiert werden. Da Daten vor der Verschlüsselung automatisiert und über Webdienste abgezogen werden, sollte ausgehender Netzwerkverkehr überwacht und auffällige Datenabflüsse zu externen Webdiensten erkannt und unterbunden werden. Zum Schutz vor der Dateiverschlüsselung sollten Verhaltenserkennung und eine strikte Begrenzung von Schreibrechten etabliert werden.