Cryptodef und Cryptowall3

Ransomware entert Malware-Topliste

| Redakteur: Stephan Augsten

In der Threat Cloud von Check Point Software tauchen immer wieder bekannte Banking- und Crypto-Trojaner auf.
In der Threat Cloud von Check Point Software tauchen immer wieder bekannte Banking- und Crypto-Trojaner auf. (Bild: Archiv)

Mit Cryptodef und Cryptowall3 haben es zwei Ransomware-Vertreter in die aktuelle Schadcode-Hitliste von Check Point Software geschafft. Auf dem berüchtigten Angler-Exploit-Kit basiert dabei die Cryptowall-Variante.

Die Angriffe mit Cryptodef und Cryptowall3 sind im März 2016 deutlich gestiegen. Folgerichtig finden sich die beiden Erpresser-Schadcodes auch in Check Points Liste der zehn größten Malware-Bedrohungen. Keine Veränderung gab es bei den weltweit am häufigsten erkannten Schädlingen: Conficker wurde für rund 20 Prozent, Sality für 9,5 Prozent aller Attacken genutzt.

Cryptodef kompromittiert laut Check Point Software nicht-binäre Nutzerdaten. Sie verschlüsselt Dokumente, Textdateien, Bilder, Video und ähnliche Formate. Der Nutzer sieht nach einem Angriff eine Textnachricht, welche klarstellt, dass nur Bezahlung zur Entschlüsselung der befallenen Daten führt. Cryptodef wird über andere Schadsoftware wie Ceeinject installiert oder wird direkt nach dem Besuch von verseuchten Websites heruntergeladen.

Cryptowall3, die neueste Version des bekannten Verschlüsselungstrojaners, wurde bereits Anfang des Jahres zum ersten Mal gesichtet. Der Schadcode wurde dahingehend weiterentwickelt, dass er keine Verbindung mehr zum Tor-Netzwerk benötigt. Sein Command- and Control-Server ist nun auch über eine codierte URL erreichbar.

Das Erpresser-Tool löscht im Übrigen jetzt auch Schattenkopien, um eine Wiederherstellung bereits verschlüsselter Daten zu verhindern. Cryptowall3 basiert auf dem Angler Exploit Kit, vor dem sowohl das Bundesamt für Informationssicherheit (BSI) als auch Check Point bereits im März gewarnt haben. Aktuelle Angriffe lassen sich übrigens mithilfe der Threat Cloud verfolgen, die auch als Datenbasis dient.

Exploits Kits nutzen unbekannte Schwachstellen in Applikationen wie dem Flash-Player. Über JavaScripts andere Plug-Ins wird dann Schadcode an bestehenden Sicherheitsvorkehrungen vorbei auf das Endgerät übertragen. Global sieht Check Point auch eine Zunahme der Angriffe auf mobile Geräte. Für das meistgenutzte mobile Betriebssystem Android geht die größte Gefahr von drei Schädlingen aus:

  • Auf Platz eins hat sich die Malware HummingBad festgesetzt. Sie kann das Endgerät rooten und anschließend schädliche Apps installieren. Durch Key-Logger und ähnliche Spionage-Funktionen lassen sich Passwörter und Zugänge ausspionieren, um Sicherheitsmechanismen wie Verschlüsselung zu umgehen.
  • Ebenfalls standhaft auf dem zweiten Rang hält sich AndroRAT. Dieser Remote-Access-Trojaner kann sich auch in echten Apps einnisten, so dass der User ihn mitunter bereitwillig installiert. Der Angreifer kann anschließend das Device fernsteuern.
  • Auf den dritten Platz hievt sich Iop. Der Schädling versucht, sich Root-Zugriff zu verschaffen, um anschließend Werbeprogramme zu installieren. Die Unmengen an Ads machen eine normale Nutzung des Gerätes häufig unmöglich.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44020345 / Malware)