Ransomware

Verschlüsselungstrojaner Locky

| Redakteur: Peter Schmitz

Ein Trojaner namens „Locky“ verschlüsselt Dateien auf PCs von Unternehmen und Privatpersonen und hat die Erpressung von Lösegeld zum Ziel. In Deutschland sind bereits mehr als 17.000 Rechner betroffen.
Ein Trojaner namens „Locky“ verschlüsselt Dateien auf PCs von Unternehmen und Privatpersonen und hat die Erpressung von Lösegeld zum Ziel. In Deutschland sind bereits mehr als 17.000 Rechner betroffen. (Bild: Kevin Beaumont)

Die Ransomware Locky treibt seit ende letzter Woche auch in Deutschland massiv ihr Unwesen. Zeitweise vermeldeten Security-Hersteller über 5000 neue Infektionen pro Stunde.

Der Verschlüsselungstrojaner (Ransomware) Locky treibt weltweit sein Unwesen und verbreitet sich aktuell besonders stark in Deutschland. Der Schädling befällt Windows-Rechner, verschlüsselt wichtige Dateien und fordert im Anschluss von den Opfern Lösegeld.

Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab, schätzt die von Locky ausgehende Bedrohung wie folgt ein: „Locky ist ein großes Problem und verbreitet sich rasant. Zudem handelt es sich um eine komplett neue Ransomware-Variante.“ Locky nutzt allerdings die Technik des überaus effektiven Vorgängers Dridex, um die Anzahl der kompromittierten Ziele zu maximieren.

Mittels des Bedrohungsanalysedienstes AutoFocus beobachtete Palo Alto Networks über 400.000 Einzelsitzungen, die den Macro-Downloader Bartallex enthielten, wodurch die Ransomware Locky ihren Weg auf infizierte Computer findet. Die Malware-Forscher vermuten, dass es eine Verbindung zwischen dem Dridex-Botnet Affiliate-220 und Locky gibt, aufgrund ähnlichen Verteilungsmustern, sich überlappenden Dateinamen und dem Fehlen von Kampagnen aus dieser besonders aggressiven Affiliate, die mit der anfänglichen Entstehung von Locky zusammenfällt.

Christine Schönig, Technical Managerin bei Check Point Software Technologies meint zu Locky: „Bereits seit einigen Monaten stellen unsere Sicherheitsforscher weltweit die Zunahme von sogenannter Ransomware, auch Krypto-Trojaner genannt, fest. Dass nun in kurzer Folge nicht nur Krankenhäuser, sondern auch Forschungseinrichtungen und massenhaft Privatuser betroffen sind, bestätigt, dass Cyber-Kriminelle bei der Entwicklung dieser Schadsoftware immer professioneller werden.“

Die Check Point Analysen zeigen, dass nicht nur einzelne PC-Arbeitsplätze, sondern ganze Netzwerke und Server befallen sind. Die Malware breitet sich wie eine Infektion rasant aus und verschlüsselt alle auf den Systemen vorhandenen Daten. Neu ist bei Locky, dass nicht nur lokale Daten betroffen sind, sondern dass sich die Schadsoftware auch auf Cloud-Speicher ausbreitet und dort die Daten ebenfalls verschlüsselt. Betroffen sind also auch Netzwerk-Shares.

Die Infektion erfolgt anscheinend über Phishing Mails mit fingierten Rechnungen, die als Word-Dokumente mit Schadcode-Makros bestückt wurden. Sobald der E-Mail-Anhang geöffnet wird, wird die Schadsoftware aus dem Internet nachgeladen. Zudem haben die Sicherheitsforscher von Kaspersky Lab auch einige legitime Websites entdeckt, auf denen die Locky-Schadsoftware platziert wird. Besucht ein Nutzer – mit entsprechenden Software-Schwachstellen auf seinem Rechner – eine solche Seite, versucht sich Locky automatisch auf diesem Rechner zu installieren.“

Die Analyse der Experten von Palo Alto Networks ergab, dass die Malware für einen Schlüsselaustausch auf Command-and-Control-Kommunikation (C2) angewiesen ist, bevor sie die Dateien der Opfer verschlüsselt. Sie führt den Schlüsselaustausch im Speicher für diesen Prozess aus. Dies ist interessant, da die meiste Ransomware einen zufälligen Verschlüsselungscode lokal auf dem Host des Opfers erzeugt und dann eine verschlüsselte Kopie an die Infrastruktur der Angreifer überträgt. Daraus ergibt sich nach Ansicht der Forscher eine vielversprechende Strategie, um die aktuelle Generation von Locky durch die Störung der zugehörigen C2-Kommunikation abzuwehren.

Der Sicherheitsforscher Kevin Beaumont hat inzwischen auch eine neue Variante von Locky entdeckt, die sich mittels Windows Scripting Host verbreitet.

Verschlüsselung wider Willen zwecks Erpressung

eBook zu Ransomware

Verschlüsselung wider Willen zwecks Erpressung

15.12.15 - Verschlüsselung ist nicht nur eine der wichtigsten Sicherheitsmaßnahmen zum Schutz der Vertraulichkeit, sondern auch eine zunehmend beliebte Angriffsmethode. Online-Erpresser verschlüsseln die Daten ihrer Opfer und fordern Lösegeld. lesen

Was tun gegen Locky und andere Ransomware?

Die wichtigste Empfehlung gegen Ransomware sind regelmäßige Backups auf externen Speichermedien. Einfache Backups auf Netzwerkspeicher helfen meist nicht weiter, da diese von vielen Verschlüsselungstrojanern gleich mit verschlüsselt werden.

Die Verteidigung gegen Ransomware erfordert von Unternehmen eine Fokussierung auf die Grundlagen eines hohen Sicherheitsniveaus. Das heißt alle Systeme müssen gehärtet und gepatcht sein. Ransomware kann in Unternehmen besonders schädlich sein, wo Netzwerkfreigaben und andere Medien an Unternehmensressourcen angebunden sind. Um damit verbundene Risiken weiter zu reduzieren, sind spezielle Backup oder Speicherrichtlinien nötig, die verhindern, dass Anwender auf Sicherheitskopien im Netzwerk zugreifen können. Von technischer Seite her können vor allem Lösungen zur Filterung von schadhaften E-Mail-Anhängen und Zero-Day-Schwachstellen helfen.

Generell gilt natürlich immer, dass ein möglichst großes Sicherheitsbewusstsein bei allen Mitarbeitern eine entscheidende Waffe im Kampf gegen Malware ist. Fraglich bleibt, ob es realistisch ist, dass Mitarbeiter Anhänge von gut gemachten Phishing E-Mails mit Rechnungen oder Bestellungen generell nicht öffnen. Spätestens bei angehängten PDF-Dateien kollidieren meist Vorsicht und beruflicher Alltag. Hier können Sandboxing-Lösungen oder Filtering-Systeme Abhilfe schaffen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43885955 / Malware)