Veröffentlicht inDigital Life

Windows: Einzigartige Schadsoftware befällt erst PCs – sie ist unfassbar schnell

Avatar photo von Amelie Scheller

Als Forschende eine neue Windows-Ransomware entdeckten, staunten sie nicht schlecht. Etwas derartiges haben sie noch nie zuvor gesehen.

Hacker und viele dazu passende Begriffe (Collage)
© vectorfusionart - stock.adobe.com

Trojaner: Woher kommen sie und wie wirst du sie los?

Was sind Trojaner?Trojaner sind Schadprogramme, die durch Täuschung auf deine Festplatte gelangen……zum Beispiel durch schädliche E-Mail-Anhänge oder Downloads.Sind sie erstmal auf deinem Computer, können sie deine Daten löschen, modifizieren, kopieren oder sperren.

Die neue Windows-Schadsoftware nennen die Sicherheitsforschenden Rorschach – nach dem Schweizer Psychiater Hermann Rorschach. Anders als andere bekannte Schadsoftware arbeitet diese nicht nur überaus schnell, sondern dringt auch mit erschreckender Leichtigkeit in geschützte Systeme ein.

Windows: Ransomware-Angriff in den USA

In den USA wurde das erste System von der neuen Windows-Ransomware befallen. Bei einem Ransomware-Angriff verschlüsseln die Cyberkriminelle ganze Dateiverzeichnisse und geben den Entschlüsselungskey nur gegen Geld raus. Daher auch der Name, der sich aus erpressen („ransom“) und „Software“ zusammensetzt.

Besonders ist an Rorschach, dass sie sich keinem Ransomware-Stamm zuordnen lässt. Es gibt verschiedene Schadsoftare zum Verschlüsseln von Dateien. Oft gibt es dort Überschneidungen in der Kodierung. Nicht so bei Rorschach.

Darüber hinaus hinterlassen die Täter*innen kein Alias. Neben Checkpoint Research haben auch andere Sicherheitsforschende die Software bereits untersucht und uneindeutige Parallelen zu anderen Hacking-Kollektiven feststellen können. Allerdings war man sich uneins. Da jeder in dem Angriffsmuster etwas anderes zu erkennen vermochte, benannte man die Windows-Schadsoftware nach dem bekannten Rorschach-Test beziehungsweise seinem Entwickler.

Nicht nur schnell, sondern auch schlau

Bei Checkpoint Research heißt es darüber hinaus, dass diese Windows-Schadsoftware noch mehr Einzigartigkeiten aufweist. So ist Rorschach nicht nur in Sachen Code nicht zuzuordnen, sondern auch überaus gewieft. Es braucht kaum manuelle Steuerung durch einen Hacker oder eine Hackerin, um die erforderlichen Rechte zur Übernahme des PCs zu erlangen. Rorschach schafft das ganz alleine und ist dabei erschreckend schnell:

„Die Ransomware ist hochgradig anpassbar und enthält technisch einzigartige Funktionen, wie die Verwendung von direkten Systemaufrufen, die bei Ransomware selten beobachtet werden. Darüber hinaus ist Rorschach aufgrund unterschiedlicher Implementierungsmethoden eine der am schnellsten beobachteten Ransomwares, gemessen an der Geschwindigkeit der Verschlüsselung.“

Checkpoint Research

Beim ersten Angriff auf eine US-amerikanische Firma nutzten die Cyberkriminellen eine Schwachstelle in einem Sicherheitstool. Über DLL-Sideloading fand Rorschach dann seinen Weg in das Windows-System.

Unternehmen im Visier?

Die Arbeitsweise von Rorschach zeigt, dass sich die Windows-Schadsoftware selbstständig verbreitet, sobald sie bei einem Domänencontroller gelandet ist. Das lässt sich auch nicht unbedingt sofort feststellen, da die Ereignisprotokolle der betroffenen Geräte nach Einnistung gelöscht werden.

Dieses Vorgehen legt jedoch auch nahe, dass die Hintermänner und -frauen von Rorschach eher Unternehmen ins Visier nehmen. Will man nur eine Privatperson erpressen, braucht es nicht so ein ausgeklügeltes System. Das ist jedoch keine Entwarnung. Bislang lässt sich nicht ableiten, ob man es mit Rorschach nur auf große Firmen abgesehen hat. Willst du dich vor Schadsoftware schützen, solltest du daher stets ein Virenprogramm installiert und aktiviert haben.

Quelle: Checkpoint Research

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.

Du willst mehr von uns lesen? Folge uns auf Google News.