Die Ransomware-Spam-Kampagne hat Unternehmen im Visier
ESET-Telemetriedaten zeigen, dass die Erkennungen für die voraus gegangene Kampagne ab Oktober 2018 bis zur zweiten Dezemberhälfte stetig anstiegen, um Weihnachten eine Pause einlegten und sich dann Mitte Januar 2019 verdoppelten. Die Einbrüche in den Erkennungsraten fanden immer an einem Wochenende statt. Das deutet darauf hin, dass die Malware-Kampagne hauptsächlich auf Unternehmen ausgerichtet war und ist.
Die Kampagne ist offenbar Teil eines übergeordneten Trends, welcher sich seit Anbeginn des Jahres abzeichnet – Das Comeback schädlicher JavaScript-E-Mail-Anhänge als Angriffsvektor.
Die Verbreitung der Shade-Ransomware
Die Shade-Ransomware verbreitende Malware-Kampagne konzentriert sich hauptsächlich auf den russischen Raum mit 52 Prozent aller Erkennungen. Zu den weiteren betroffenen Ländern gehören aber auch
- Deutschland
- die Ukraine
- Frankreich
- Japan
Das Shade-Angriffsszenario
Das typische Angriffsszenario, um das schädliche JavaScript zu verbreiten, gestaltet sich folgendermaßen:
- Ein potentielles Opfer erhält eine russische E-Mail mit einer ZIP-Datei im Anhang namens „info.zip“ oder „inf.zip“.
- Die E-Mails stammen von augenscheinlich legitimen russischen Unternehmen und scheinen Informationen zu einer Bestellung bereitzustellen.
In einer E-Mail, die durch die ESET-Sicherheitssysteme aufgefangen wurde, heißt es übersetzt:
Betreff: Details zur Bestellung
Hallo!
Wir senden Ihnen die Details zu Ihrer Bestellung. Anbei finden Sie ein Dokument.
Denis Kudrashev, Manager
Das angehangene ZIP-Archiv beinhaltet eine JavaScript-Datei namens “Информация.js“, zu Deutsch: „Informationen“. Wurde das Skript erst einmal extrahiert und gestartet, lädt es einen schädlichen Loader, den ESET als Win32/Injector identifiziert. Letztendlich entschlüsselt und startet dieser Loader die eigentliche Paylaod – die Shade-Ransomware.
Ein schädlicher Loader
Der schädliche Loader wird über eine kompromittierte WordPress-Seite bezogen, der sich dort als Bild-Datei versteckt. Um die WordPress-Webseite zu überwältigen, setzten die Cyber-Angreifer auf großangelegte Brute-Force-Attacken durch automatisierte Bots. ESET-Telemetrie zeigen, dass hunderte Bild-URLs existieren, die alle auf „ssj.jpg“ enden und den Loader beherbergen.
Außerdem versucht sich der Loader noch besser zu tarnen, in dem er den legitimen Windows System-Prozess Client Server Runtime Process (csrss.exe) nachahmt. Dieser kopiert sich selbst in folgendes Verzeichnis: C:\ProgramData\Windows\csrss.exe, wobei „\Windows“ ein versteckter Ordner ist. Normalerweise liegt der Windows-Ordner nicht im ProgramData-Verzeichnis.
Die eigentliche Payload – Shade-Ransomware
ist die Crypto-Ransomware Shade – auch Troldesh genannt. Zuerst entdeckte man die Verschlüsselungs-Malware im Jahr 2014, diese taucht dann aber immer wieder ab und auf. Die Ransomware ist imstande, eine Vielzahl an Dateitypen auf der Festplatte zu verschlüsseln. In jüngeren Malware-Kampagnen fügte die Malware den verschlüsselten Dateien die Endung „.crypted000007“ an.
Die Zahlungsmodalitäten werden den Opfern in Form einer .txt-Datei präsentiert – in Russisch und Englisch – die auf jedes Laufwerk abgelegt wurde. Der Wortlaut der Lösegeld-Forderung stimmt mit dem aus der vorangegangenen Malware-Kampagne überein.
Wie man sich vor Ransomware schützen kann
- Verdächtige E-Mails auf Authentizität prüfen, bei großer Unsicherheit beim vermeintlichen Absender anrufen und nachhaken. Dazu die Kontaktdaten der echten Webpräsenz nutzen
- Keine Anhänge oder Links voreilig öffnen
- Gmail blockiert beispielsweise .js-Anhänge
- Anerkannte Sicherheitsprodukte, wie die von ESET, erkennen und blockieren schädliche E-Mails
- WordPress-Webseiten sollten mit einem starken Passwort oder einer noch besseren Passphrase und durch die Zwei-Faktor-Authentifizierung gesichert werden. WordPress selbst, Plugins und Themes müssen regelmäßig aktualisiert werden, um Sicherheitslücken zu schließen
Weiterführende Links:
welivesecurity.com: Russland von neuer Ransomware-Welle getroffen