Unternehmen explizit bedroht
Die Entdeckung der neuen Ransomware-Variante Virlock gelang Sicherheitsforschern von Netskope, wie zdnet.de berichtete. Mittels Cloud-Storage und Collaborations-Anwendungen geschieht hierbei die Verbreitung. Die Gefahr einer Infizierung ist vor allem für Unternehmen groß, dass ein infizierter Nutzer die Erpressersoftware im gesamten Unternehmensnetzwerk verbreitet.
Bereits seit zwei Jahren treibt Virlock sein Unwesen und das nicht nur mit Dateiverschlüsselung. Zusätzlich erfolgt auch eine Infizierung mit Schadcode. Wenn ein Nutzer eine verschlüsselte Datei öffnet, beginnt ein verhängnisvoller Kreislauf. Der Nutzer selbst wird mit Malware infiziert, die dann wiederum dessen Dateien verschlüsselt und mit Schadcode belastet.
Zugang über USB-Stick
Der Zugang zum Rechner führt über einen USB-Stick oder eine externe Netzwerkfreigabe, wie Netskope in einem Blog erläutert. Dazu heißt es weiter, dass die Malware drei ausführbare Dateien generiert, von denen allein zwei andere Dateien infizieren. Daneben werden Anpassungen an der Registry vorgenommen, damit die manuelle Entfernung der Schadsoftware verhindert wird.
Infizierte Dateien werden automatisch mit der Dateiendung „exe“ versehen. Die im Anschluss erscheinende Lösegeldforderung setzt die Betroffenen, mit Vorwürfen geraubte Software einzusetzen, unter Druck. Als Absender erscheinen erhärtend das FBI und das US-Justizministerium. Das Lösegeld, das Virlock für die Freigabe der Dateien verlangt, beträgt 250 Dollar in Bitcoins.
Infektion über die Cloud
Die neue Qualität von Virlock zeigt sich bei der Infektion von Nutzer, die gemeinsam an gespeicherten Cloud-Dateien arbeiten. Beispielhaft nennt Netskope zwei Anwender, die Zugriff auf einen gemeinsamen Ordner eines Cloudspeichers haben, dessen Inhalt automatisch mit ihren Rechnern synchronisiert wird. Hat nun einer der Anwender Kontakt mit Virlock, werden seine lokalen Dateien infiziert und anschließend mit der Cloud synchronisiert. Klickt ein anderer Anwender schließlich eine Datei in dem Ordner an, wird Virlock unter Umständen auch auf seinem System ausgeführt.
Die Netskope-Forscher raten Unternehmen, wichtige Cloud-Daten regelmäßig lokal zu sichern und auf Malware zu prüfen.
Weiterführende Links:
Checkliste: zehn Kriterien bei der Auswahl eines Cloud-Dienstleisters
Business Security: Was spricht für und was gegen Cloud-Lösungen?
Unternehmen: alles ab in die Cloud?
DDoS-Angriffe über die Cloud nehmen drastisch zu
zdnet.de: Ransomware Virlock verbreitet sich über Cloud-Storage
