Kawa4096

Überblick

Kawa4096, auch unter dem Alias „KaWaLocker“ geführt, ist eine Ransomware-Gruppe, die gezielt multinationale Konzerne ins Visier nimmt. Ihre Angriffe richten sich vorrangig gegen Einrichtungen aus den Bereichen Finanzwesen, Bildung und Dienstleistungen, wobei der geografische Schwerpunkt auf den Vereinigten Staaten und Japan liegt. Zur Verschlüsselung der Daten setzt die Gruppe den Stromchiffre-Algorithmus „Salsa20“ ein und verfolgt dabei einen Ansatz der Teilverschlüsselung: Statt jede Datei vollständig zu chiffrieren, wird jeweils nur ein Bruchteil der einzelnen Dateiabschnitte verschlüsselt. Dieses Vorgehen beschleunigt den Verschlüsselungsvorgang erheblich, macht die betroffenen Daten für die Opfer aber dennoch unbrauchbar. Charakteristisch für Kawa4096 ist darüber hinaus die Gestaltung ihrer Leak-Plattform, deren Erscheinungsbild bewusst an die nostalgische Terminal-Optik der Gruppe „Akira“ angelehnt ist. Im Verlauf ihrer Aktivität hat Kawa4096 bereits zahlreiche Opfer aus verschiedenen Branchen für sich reklamiert.