Einfallstor sind veraltete Software-Versionen
In seiner aktuellen Warnung bezieht sich blog.botfrei auf Angaben der Experten von Malwarebytes. Danach wurde für diesen Angriff das RIG-Exploitkit verwendet, um letztendlich die RansomwareCrypMIC auf die Systeme der Besucher zu bringen. Das RIG-Exploitkit sucht als erstes nach veralteter Software von Adobe Flash Player, Internet Explorer und Microsoft Silverlight. Oft sind dort nicht gepatchte Sicherheitslücken vorhanden, die von den Angreifern zur Installation des Erpresser-Trojaner CrypMIC genutzt wird.
Nach der Installation des Erpresser-Trojaners CrypMIC beginnt dieser umgehend mit der Verschlüsselung der PC-Daten. Für die Entschlüsselung werden Lösegelder zwischen 650 und 1300 Euro verlangt. Die Vorgehensweise des RIG entspricht dem des „Angler“ und dem Neutrino-Exploitkit nach dem „Domain-Shadowing“ Prozess.
Der Domain-Shadowing Prozess
Forscher von Cisco Talos beschreiben den Domain-Shadowing Prozess wie folgt:
„der Prozess des Sammelns von Domänen-Anmeldeinformationen, um stillschweigend Subdomains zu erstellen, die ohne Hinweis des eigentlichen Besitzers auf bösartige Server weiterleiten.“
Bei einem Angriff mit Domain Shadowing wird sich ein Angreifer in der Website des Domain-Registrars anmelden und eine neue Subdomain auf einer neuen Server-IP-Adresse registrieren. Mit der Registrierung vieler Subdomain-Namen und IP-Adressen sind Angreifer in der Lage, Blacklists auszuhebeln.
Domain Shadowing lässt sich dann dazu verwenden, einen DNS-Namen in der Malware, einzubetten. Über diesen kann die (weitere) Malware von einem kompromittierten Webhost heruntergeladen oder vorgegeben werden, wohin ein kompromittiertes System gestohlene Daten senden soll.
Blog.botfrei-Tipps für Nutzer zum sicheren Surfen im Netz
- Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac!
- Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immer “up-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
- Halten Sie alle Programme auf dem Rechner aktuell z.B. automatisiert mit dem CSIS-Heimdal Security Agent
- Surfen Sie mit Mozilla’s FireFox? Dann greifen Sie auf Erweiterungen wie Noscript, Adblock und WOT zurück.
- Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
Ist Ihr Computer mit dieser Malware infiziert, können Sie sich gerne in unserem kostenfreien Forum anmelden. Dort werden Experten das Problem “Schritt für Schritt” mit Ihnen beheben.
Weiterführende Links:
Malwaretising nun auch auf deutschen Webseiten
Sicherheitslücke in Let’s Encrypt
blog.botfrei.de: Answers.com liefert Ransomware über Werbung aus
