Die Trojaner-Familie „Samsa“ stellt einen neuen Entwicklungsschritt der Erpresser-Schadsoftware dar. Im Grundkonzept an Locky[1], Teerac[2] oder Crowti[3] angelehnt, aber ungleich effektiver.

Während die genannten Schadprogramme sich bisher darauf beschränkten, die Dateien auf dem PC zu verschlüsseln und nur gegen Zahlung von Lösegeld wieder frei zu geben, durchsucht der seit Dezember 2015 verbreitete Trojaner Samsa (Bezeichnung von Microsoft[4],  auch unter „Samas“, „samsam“ oder „MOKOPONI“ bekannt[5]) zusätzlich das gesamte (Heim- oder Firmen-)Netzwerk und infiziert weitere damit verbundene Computer.

Bisher gelangten derartige Erpresser-Programme (sog. „Ransomware“) als Anhang von E-Mails (sog. Phishing) oder Drive-by-Downloads (unbeabsichtigtes Herunterladen von Software im Hintergrund[6]) auf den PC. Dabei verfolgte man die Strategie, durch eine breitgestreute Menge an Phishing-Mails auch eine gewisse Zahl unachtsamer Opfer in die Falle zu locken. Wenn ein Adressat den Anhang der E-Mail herunterlud, wurden alle Programme, auf die der Nutzer die Zugriffsrechte hatte, verschlüsselt.

Samsa hingegen gelangt gezielt auf den Computer mit Hilfe von sog. Penetrationstests. Bei diesen wird versucht, mittels verschiedener Methoden unter Ausnutzung von Softwarefehlern in ein Netzwerk einzudringen. Findet sich hierbei ein verwundbares Netzwerk, schleust der Angreifer Samsa über die Schwachstelle in den PC ein. Jenes durchsucht dann das Netzwerk nach weiteren Computern und infiltriert diese. Sobald der Angreifer ausreichend Systeme infiziert hat, wird die eigentliche Ransomware-Attacke manuell aktiviert. Im Folgenden verschlüsselt es Dateien, deren Endungen vom Angreifer als Ziel vordefiniert wurden (darunter alle gängigen Mediendateiformate wie .jpg oder .mp3, Dokumentenformate wie .pdf und .docx, sowie hinterlegte Dateien für Onlinebanking[7]) und löscht darüber hinaus auch vorgefundene Backup-Dateien und Schattenkopien. Letztlich wird dem Opfer die Nachricht mit der Aufforderung zur Überweisung von einer Bitcoin (Wert: 365,02 €; Stand 30.03.2016[8]) pro infiziertem Gerät oder einer festgelegte Summe (zwischen 22 und 45 Bitcoins) angezeigt, während sich der Trojaner im Hintergrund selbst löscht.

Die Angriffe richten sich nach Microsoftangaben hauptsächlich gegen Ziele in den USA, wenngleich auch einige Fälle aus Asien und Europa bekannt sind.[9]  Bis zum 23.03.2016 wurden auf diese Weise nach Angaben von Cisco Talos min. 115.000 US-$[10] erbeutet.

Auf den starken Anstieg der Ransomwareangriffe seit September 2015 hinweisend hat das BSI ein Themenpapier mit dem Titel „Ransomware – Bedrohungslage, Prävention & Reaktion“ herausgegeben.[11] In diesem beziffert es den Anstieg der erfassten Ransomwareangriffe durch Virenprogramme von Oktober 2015 bis Februar 2016 auf den Faktor 10 innerhalb Deutschlands, aber auch weltweit sei die Zahl der Vorfälle auf das 6-fache angestiegen. Hierbei ist Samsa als relativ junges Programm noch nicht aufgeführt, könnte jedoch schon bald eine große Rolle spielen. Laut der Kaspersky Lab Statistik für das Jahr 2015 wurde auf 753.684 infizierten Computern Ransomware entdeckt, davon stammten 179.209 Opfer von Erpresser-Programmen.[12] Im Vergleich zum vierten Quartal 2014 (mit 128.123 entdeckten Programmen) bedeutet das einen Anstieg von 488 %.

Als Gründe für den Erfolg solcher Programme gibt das BSI zum einen die höheren Wiederherstellungskosten beim Geschädigten, den hohen Leidensdruck beim Opfer und die einfache Abwicklung über anonyme Zahlmethoden wie Bitcoins, an.

Außerdem gibt das BSI im Themenpapier Hinweise zu Präventionsmaßnahmen, primär technischer Art, betont aber auch die Wichtigkeit von Sensibilisierung und Schulungen zu Ransomware von Mitarbeitern. Sollte es dennoch zu einem Angriff kommen, rät es das Lösegeld nicht zu bezahlen, nachdem hierdurch die Angreifer lediglich motiviert würden bzw. Resourcen zur weiteren Erstellung von Schadsoftware bekämen. Ebenso könne man sich nicht sicher sein, dass die Dateien tatsächlich entschlüsselt würden. Stattdessen solle man Anzeige erstatten.

Dieses Vorgehen wird jedoch anhand des Falls Dettelbach von Dipl.-Jur. Michael Wehrmann[13] kritisiert. Hier zahlte die Stadtverwaltung Dettelbachs 1,3 Bitcoins (zum damaligen Zeitpunkt ca. 490 €) den Erpressern, welche daraufhin die Daten wieder frei gaben.[14] Nichtsdestotrotz konnten nicht alle gesperrten Dateien gerettet werden, was nach Angaben der Stadtverwaltung aber nur mittelbar auf den Angriff und vielmehr auf „Fehlfunktionen im bestehenden EDV-System“ zurückzuführen sei. In einem solchen Fall, so Wehrmann, könne nicht pauschal  geraten werden, nicht zu bezahlen, es müsse vielmehr eine Abwägung getroffen werden. Auch in Fällen, in denen z.B. ein Krankenhaus infiltriert worden ist und Patientenleben in Gefahr seien, sei der Hinweis des BSI hinfällig.

[1] http://www.heise.de/security/meldung/Krypto-Trojaner-Locky-wuetet-in-Deutschland-Ueber-5000-Infektionen-pro-Stunde-3111774.html

[2] http://www.com-magazin.de/news/malware/microsoft-warnt-erpresser-trojaner-teerac-1012570.html

[3] https://securityintelligence.com/news/microsoft-crowti-ransomware-infections-spiking/

[4] https://blogs.technet.microsoft.com/mmpc/2016/03/17/no-mas-samas-whats-in-this-ransomwares-modus-operandi/

[5] http://researchcenter.paloaltonetworks.com/2016/03/evolution-of-samsa-malware-suggests-new-ransomware-tactics-in-play/

[6] http://www.focus.de/digital/experten/preuss/unterwegs-sicher-surfen-die-groesste-gefahr-im-internet-der-unsichtbare-drive-by-download_id_4094228.html

[7] http://blog.talosintel.com/2016/03/samsam-ransomware.html

[8] https://exmo.com/de/?gclid=CIL93MeU6MsCFWoz0wodJ38N-Q#?pair=BTC_EUR&utm_source=google&utm_medium=search&source=&position=1t2&utm_content=86901588154&utm_term=%2Bbitcoin%20%2Bin%20%2Beuro&param1=&utm_campaign=2004

[9] https://blogs.technet.microsoft.com/mmpc/2016/03/17/no-mas-samas-whats-in-this-ransomwares-modus-operandi/

[10] http://blog.talosintel.com/2016/03/samsam-ransomware.html

[11] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.pdf?__blob=publicationFile&v=2

[12] http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/Kaspersky_Security_Bulletin_2015_2016.pdf

[13] https://www.recht-freundlich.de/it-sicherheit/bsi-aeussert-sich-zu-erpressersoftware-ransomware

[14] http://www.spiegel.de/netzwelt/web/ransomware-teslacrypt-stadtverwaltung-dettelbach-zahlt-loesegeld-a-1080528.html