Ransomware ist in jedem Fall etwas, dass niemand benötigt – ganz egal, um welche es sich handelt. Ransomware RTM-Locker stellt da keine Ausnahme dar. Sie kommt still und leise daher nach dem Motto: bloß keine Aufmerksamkeit erregen.
Was RTM-Locker von anderer Ransomware unterscheidet, erfahren Sie hier.
Unser Beitrag über die Ransomware RTM-Locker im Überblick:
Definition: Ransomware
Als Ransomware bezeichnet man auch Erpressersoftware oder Erpressertrojaner. Dabei handelt es sich um schädliche Software, die das Ziel verfolgt, Computer und Netzwerke zu befallen und Daten zu verstecken oder zu verschlüsseln. Die Nutzung der Daten und/oder der gesamten Geräte soll unmöglich gemacht werden.
Es folgt eine Lösegeldforderung mit dem Versprechen, dass die verschlüsselten Dateien wieder freigegeben werden. Ob das tatsächlich passiert, ist allerdings fraglich, weshalb Experten von der Lösegeldzahlung abraten. Wer allerdings eine Backup-Strategie verfolgt, muss Ransomware nicht fürchten.
Seit einiger Zeit liegt auch Ransomware as a Service (RaaS), also also gemietete Dienstleistung, im Trend. Dabei stellen Hacker-Gruppen ihre Software gegen einen ausgehandelten Preis zur Verfügung. Als RaaS lässt sich auch RTM-Locker bezeichnen.
Wer den Schlüssel nicht hat, kann auf die verschlüsselten Dateien nicht mehr zugreifen. Bild: Pexels/@life-of-pix
Was macht RTM-Locker?
RTM-Locker, auch Read The Manual (Lesen Sie das Handbuch) Locker, kommt als klassischer Trojaner über mit Makros infizierte E-Mail-Anhänge, E-Mails mit verseuchten Links, Torrent-Webseiten oder bösartige Anzeigen auf Ihren Rechner. Neu ist allerdings, dass auch zunehmend Firmen ins Visier der Ransomware gelangen.
Ist der Schädling auf Ihrem Rechner, verschlüsselt er Dateien und ändert das Desktop-Hintergrundbild. Außerdem wir die Datei „How To Restore Your Files.txt“ ablegt, die nicht nur die Lösegeldforderung enthält, sondern auch den Dateinamen aller verschlüsselten Dateien 64 zufällige Zeichen anhängt.
Beispiele für die Umbenennung von Dateien:
- 1.jpg wird zu 1.jpg.4117E5B4E58CF57DBE56C6EC62D6A123F429A2F014D0F5C943A014D76126E96A, und
- 2.png wird zu 2.png.24645DABEFE1F375A68DC87A394BBF5872AE166358EAE75B1A524EA9FDC92E5A
In dieser Art werden sämtliche Dateien, die RTM-Locker verschlüsselt, unbrauchbar gemacht.
Lösegeldforderung durch Read The Manual Locker
Mit der Lösegeldforderung informiert die Hackergruppe hinter RTM-Locker ihre Opfer, dass Rechner und/oder Netzwerk mit dem Erpressertrojaner infiziert wurde/n. Die Nachricht warnt, dass alle Dateien, inklusive persönlicher Dokumente, Fotos, Kunden- und Angestelltendaten sowie Datenbanken verschlüsselt und damit unzugänglich sind.
Aktuell gibt es noch keine kostenlose Entschlüsselungssoftware, sodass derjenige, der kein Backup hat, entweder die geforderte Summe zahlen oder auf die Daten verzichten muss. Letzteres zieht allerdings die Gefahr nach sich, dass die Daten veröffentlicht werden – eine Masche, die Cyberkriminelle gern anwenden, um mehr Druck auf ihre Opfer auszuüben. Denn ihnen liegt daran, Geld zu bekommen.
Deshalb bieten die Angreifer ihren Opfern an, die verschlüsselten Dateien zu entschlüsseln – mit einer Software, die nur sie zur Verfügung stellen können. Gleichzeitig warnen sie: Sollte das Opfer das RTM-Locker-Support-Team nicht innerhalb von 48 Stunden kontaktieren, werden die gekaperten Daten veröffentlicht und an die Konkurrenz sowie Aufsichtsbehörden versendet. Und: Wer versucht, die Dateien selbst wiederherzustellen, dem droht permanenter Datenverlust.
Unerkannt bleiben – das ist eines der Hauptziele der Hackergruppe hinter RTM-Locker. Bild: Pexels/@tima-miroshnichenko
Das Besondere an RTM-Locker
Die Hackergruppe hinter Read The Manual Locker hat ihren Mitgliedern gegenüber ein strenges Regelwerk, um möglichst wenig Aufmerksamkeit zu erlangen. Die Mainstream-Medien sollen nicht auf die Ransomware aufmerksam werden. Die Gruppe will unbemerkt agieren und unerkannt bleiben.
Zu den Regeln gehört unter anderem, dass Krankenhäuser oder Unternehmen, die zur Impfstoff-Lieferkette gehören, nicht infiltriert werden dürfen. Ebenso sind Ziele in Ländern der Gemeinschaft Unabhängiger Staaten (GUS) tabu. Mitglieder dürfen zudem keine Chats mit Verhandlungen mit den Opfern öffentlich verlinken.
Um zu verhindern, dass der Aufbau der Malware analysiert werden kann, enthält sie einen Selbstzerstörungsmechanismus, der sofort greift, wenn die Dateien der Opfer verschlüsselt sind. Und zu guter Letzt ist die Weitergabe der Ransomware den Mitglieder untersagt, wenn sie beispielsweise einen Angriff an eine dritte Auftragspartner delegieren wollen.
Schutz vor Ransomware und Co.
Für jeden, der online unterwegs ist, sei es privat oder beruflich, ist eine ausgefeilte IT-Sicherheitsstrategie unerlässlich. Dafür gibt es unterschiedliche IT-Konzepte wie beispielsweise Best of Breed. Fest steht, Benutzerkonten müssen ebenso gesichert sein wie sensible Dateien. Und da Mitarbeiter als „Schwachstelle Mensch“ gelten, sind Sicherheitsschulungen unumgänglich. Denn schließlich kommt Ransomware wie RTM-Locker nicht selten mittels E-Mail-Anhang auf den Rechner.
Wenn Sie in Ihrem Betrieb in Sachen IT-Sicherheit noch Nachholbedarf haben wenden Sie sich gern an PC-SPEZIALIST in Ihrer Nähe. Mit einer umfangreichen IT-Dokumentation analysieren wir den Ist-Zustand Ihrer IT und beraten Sie anschließend zu Verbesserungsmöglichkeiten. Wenn Sie keine Zeit oder keinen Verantwortlichen für Ihre IT haben, empfehlen wir Ihnen den IT-Basisschutz. Er erfüllt nicht nur die Grundbedürfnisse kleiner Unternehmen an die IT, sondern ist zudem rechtskonform nach DSGVO. Nehmen Sie gern Kontakt auf und lassen Sie sich beraten.
_______________________________________________
Quellen: bsi-bund, pcrisk, security-insider
Schreiben Sie einen Kommentar