Verschlüsselung & Datensicherheit

Neue Ransomware-Kampagne aktiv

Sicherheitsexperten haben eine weltweite Ransomware-Kampagne registriert. Die Malware wurde per E-Mail-Anhang innerhalb kürzester Zeit über das Botnet Necurs verbreitet. Bei der neuen Erpressungssoftware handelt es sich um Scarab, eine relativ neue Ransomware-Familie.

Scarab gefährdet Windows-Systeme

Es ist die Ransomware Scarab, die aktuell im Rahmen einer flächendeckenden Kampagne verbreitet wird und Windows Systeme gefährdet, wie zdnet.de unter Berufung auf den Sicherheitsanbieter Forcepoint informierte. Unter Einsatz des Botnetzes Necurs begann die Attacke am Morgen des 23. November. Es gelang damit innerhalb weniger Stunden rund 12,5 Millionen E-Mails mit angehängter Malware zu übertragen.

Betroffen waren mehrheitlich „.com“ Adressaten gefolgt von den TLDs für Großbritannien, Australien, Frankreich und Deutschland. Der Betreff der Spam-Mails lautete:

„Scanned from [Druckerhersteller]“

Daneben enthielt die Mail einen zip-Anhang einem VBScript-Downloader.

Das Botnetz Necurs

Im Zusammenhang mit der Kampagne ist von einem Wiedererstarken des Botnetzes Necurs die Rede. Dieses war gemeinsam mit der Ransomware Locky aktiv. Die aktuelle Kampagne verbinden die Forcepoint Experten auch mit der Ransomware Jaff. Diese wurde ebenfalls mit einer massiven Kampagne über das Necurs-Spam-Botnet verbreitet und veranlasste die Polizei Niedersachsen zu einer Warnung, da sie auch in Deutschland verteilt wurde.

Die Ransomware-Familie Scarab

Die im Juni dieses Jahres entdeckte Ransomware-Familie Scarab ist eine relativ neue Familie. Zur derzeitigen Variante heißt es, dass sie bei ihrer Ausführung eine Kopie als %Application Data%\sevnz.exe anfertigt und dann einen Registry-Eintrag für den Autostart erstellt. Scarab führt außerdem Befehle aus, um Recovery-Features von Windows auszuschalten.

Wenn die Schadsoftware mit der Verschlüsselung von Dateien beginnt, erweitert sie die Dateinamen um „.[suupport@protonmail.com].scarab“. Die falsche Schreibweise von „support“ ist vermutlich darauf zurückzuführen, dass beim Protonmail-Dienst die gewünschte E-Mail-Adresse schon vergeben war. Nach dem Verschlüsselungsvorgang wird die ursprünglich angelegte Kopie von sich selbst entfernt.

Die Erpressernachricht

Die Erpresser fordern ihre Opfer auf, über die genannte E-Mail-Adresse Kontakt mit ihnen aufzunehmen. Für den Fall, dass der Provider die Adresse während der anlaufenden Kampagne sperrt, geben sie in ihrer Lösegeldforderung eine weitere Kontaktmöglichkeit über BitMessage an.

In der Lösegeldforderung heißt es dann:

„Der Preis hängt davon ab, wie schnell Sie sich an uns wenden“

Fazit

Die Sicherheitsforscher von Forcepoint kommentierten in einem Blogeintrag:

„Indem sie die Dienste großer Botnets wie Necurs in Anspruch nehmen, können auch kleinere Ransomware-Akteure wie die Hintermänner von Scarab massive Kampagnen mit globaler Reichweite fahren“

In diesem Zusammenhang heißt es, dass es derzeit unklar ist, welche Ausmaße die Kampagne haben wird. In jedem Fall sei auch 2018 mit Ransomware als einem „bedeutsamen Teil der Bedrohungslandschaft“ zu rechnen.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben