Ransomware, ein lukratives Geschäft
Cyberkriminelle haben mit Erpressersoftware eine Maschine zum Gelddrucken entdeckt. Laut Trend Micro sind allein in den vergangenen sechs Monaten mehr als 50 neue Familien aufgetaucht – 2014 bis 2015 waren es insgesamt nur 49.
Die angewendete Technik baut dabei immer auf die Angst der Opfer, den Zugriff auf die eigenen Systeme zu verlieren. Die Kriminellen haben ihre Techniken permanent weiterentwickelt, vom einfachen Sperren des Bildschirms über die Nutzung von gefälschten Warnungen der Polizei vor Gesetzesübertretungen bis hin zur tatsächlichen Datenmanipulation.
Welche Techniken werden angewendet?
Es sind E-Mail und Web, die sich als Angriffspunkte bewährt haben. Trotz der Einfachheit der Mittel bleiben diese Taktiken dem Nutzer meist verborgen oder sind auf der Oberfläche nicht leicht zu sehen. Sie können auch die traditionellen Sicherheitslösungen umgehen.
Ransomware-bezogene Spam-Nachrichten enthalten typischerweise bösartige Anhänge, sei es in Form von Makros, JavaScript oder andere, die als Downloader für die tatsächliche Ransomware dienen. Beispielsweise hat Crypto Locker einen bösartigen Anhang (meist eine UPATRE-Variante), die ZeuS/ZBOT herunterlädt. Dieser Information Stealer lädt dann CryptoLocker auf das System und führt den Schädling aus.
Einige Crypto Ransomware-Familien fügten mit Makros eine weitere Schicht hinzu, eine alte Taktik, die wieder aufgenommen wurde, um Sandbox-Technik zu vermeiden. Der Nutzer muss nämlich per Hand die in das bösartige Dokument eingebetteten Makros aktivieren, damit die Infizierung des Systems funktioniert. Hier spielen Social Engineering-Köder und die menschliche Psyche eine entscheidende Rolle.
- Die Ransomware Locky ist das bekannteste Beispiel für den Einsatz von bösartigen Makro-Anhängen. Nachdem Locky Ende Mai verschwunden war, tauchte die Malware nun wieder auf. Auch JavaScript-Anhänge wurden gefunden, die automatisch Ransomware-Varianten herunterladen, so etwa XORBAT, ZIPPY, TeslaCrypt 4.0 oder CryptoWall3.0. Auch VBScript nutzten die Cyberkriminellen, um Locky und CERBER zu verteilen. Damit lässt sich die Malware nicht nur verschleiern sondern auch Scanner können vermieden werden.
- TorrentLocker hatte Nutzer und Unternehmen in Australien und Europa im Visier mit ausgefelten Spam-Kampagnen. Er nutzte nicht die typischen Betreffs, sondern passte die Nachrichten an, und zwar bezüglich der vom angeblichen Absender genutzten Sprache. So gab es Spam-Nachrichten, die vorgaben, von der australischen Bundespolizei oder anderen lokalen Behörden zu kommen. Interessanterweise werden diese Spam-Mails nur an legitime Konten gesendet, um Antispam zu vermeiden.
- Ransomware via Web funktioniert über kompromittierte rechtmäßige Web Server, odass Nutzersysteme auf bösartige Websites weitergeleitet werden. So hatten Angreifer letzten Dezember die Blogseite von „The Independent“ kompromittiert, um TeslaCrypt 2.0 zu verteilen. Nutzer, die die Seite besuchten, wurden verschiedentlich umgeleitet, einschließlich auf eine Site, die das Angler Exploit Kit hostet. Waren die Systeme für diese bestimmte Lücke in Adobe Flash Player (CVE-2015-7645) ansprechbar, so kam es zu Infektionen mit Ransomware.
- Auch missbrauchten die Betrüger rechtmäßige Services, um ihre bösartigen Dateien zu hosten. So missbrauchte etwa PETYA den Speicherdienst Dropbox.
- Exploit Kits Malvertising sind ein weiterer Weg über den Ransomware-Familien verteilt werden. Beim Besuch von solch infizierten Sites, können nicht gepatchte Systeme infiziert werden.
Trend Micro bietet Lösungen an
Trend Micro bietet Lösungen, die Ransomware auf Gateway- oder Exposure-Ebene stoppen können. Mithilfe des Deep Discovery™ Email Inspector können Ransomware-bezogene Emails und bösartige Anhänge erkannt und geblockt werden. Die anpassbare Sandbox erkennt auch Varianten, die Makros nutzen. IP- und Web-Reputation mindern das Risiko von Ransomware auf Mail- und Web-Ebene.
Trend Micros Smart Protection Suites kann über Verhaltens-Monitoring, Applikationskontrolle und Shielding von Sicherheitslücken die Ausführung von bösartigen Routinen verhindern Die Anti-Ransomware-Funktion erkennt und blockt die Ausführung der Malware.
Netzwerkschutz bietet Trend Micro Deep Discovery Inspector, der über die Sandbox und Scanning Ransomware erkennt und blockt. Auch jegliche laterale Bewegungen durch das Netzwerk können damit verhindert werden.
Trend Micro Deep Security™ verhindert, dass Ransomware die Unternehmensserver erreicht – unabhängig davon, ob sie physisch, virtuell oder in der Cloud stehen.
Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltensmonitoring oder Echtzeit-Webreputationsdienste, um gegen Ransomware zu erkennen und zu blocken.
Nutzer können auch die kostenlosen Tools wie Trend Micro Lock Screen Ransomware Tool nutzen, das Screen Locker Ransomware erkennt und entfernt. Das Trend Micro Crypto-Ransomware File Decryptor Tool wiederum kann bestimmte Varianten von Crypto-Ransomware entschlüsseln.
Weiterführende Links:
Breaking News: Vorsicht - Lösegeld-Trojaner Locky ändert seine Angriffsstrategie
Ransomware-Seuche: jede sechste E-Mail wird rausgefiltert
Achtung: Gefahr von Ransomware droht durch fremde Word-Dokumente
Vorsicht vor neuer Ransomware Cerber – Lösegeld-Trojaner, der sich "morphen" kann
Trendmicro.de: Wie Ransomware funktioniert: Verteilungstaktiken
