Locky wieder aktiv
Es gab lange Zeit vermeintlich keine Aktivitäten vom Erpressungstrojaner Locky. Nachdem dieser scheinbar verschwunden war, meldete er sich Mitte des Jahres fulminant zurück, wie heise.de nun informierte. Neue Ziele sind Krankenhäuser momentan vor allem in den USA und in Asien.
Die Verbreitung der Malware geschieht, laut Berichten der Sicherheitsfirma FireEye über Spam-Mails mit .docm-Dateien, also Makro-fähige .docx-Dokumente. In den Macros steckt der Schadcode, der den Erpressungstrojaner auf das System des Opfers lädt.
Gezielte Spam-Kampagnen
Die Spam-Kampagnen, die zum Beispiel Krankenhausmitarbeiter betreffen, sind gezielt und gut vorbereitet. So haben die Forscher personalisierte Mails für jede der verschiedenen Ziel-Organisationen entdeckt. Neben Krankenhäusern sind auch Unternehmen aus anderen Geschäftszweigen im Visier der Kriminellen.
Die neuen Angriffe der Drahtzieher hinter Locky zeichnen sich durch gezielte Attacken auf lukrative Ziele aus. Deutschland steht dabei auf Platz 6 der Spam-Ziele.
Fazit
Im Ergebnis ihrer Untersuchungen haben die Sicherheitsforscher von FireEye festgestellt, dass die Gruppe hinter den Angriffen sich mehr und mehr auf Locky zu konzentrieren scheint. Angriffe mit dem Banking-Trojaner Dridex, der ebenfalls von denselben Kriminellen stammen soll, lassen demnach nach. Die Sicherheitsexperten kommen zu der Erkenntnis, dass Erpressungstrojaner lukrativer sind als Banking-Malware.
Weiterführende Links:
Auch Necurs-Botnet mit Locky ist wieder da!
Erpressungs-Trojaner Locky: G DATA gibt Tipps für mehr Sicherheit
Achtung: Aggressive Ransomware Locky baut auf Word Makros
fireeye.com: Locky Ransomware Distributed Via DOCM Attachments in Latest Email Campaigns
heise.de: Neues von Locky: Der Erpressungstrojaner greift jetzt massenhaft Krankenhäuser an