Schutzprogramme, Verschlüsselung & Datensicherheit

Ransomware: Neue Welle trifft Russland

Es wurden neue Spam-Mails in russischer Sprache entdeckt, die zur Ransomware Shade, auch bekannt als Troldesh, führen. Von ESET-Sicherheitsprodukten wird die Malware als Win32/Filecoder.Shade enttarnt.

Die Ransomware-Spam-Kampagne hat Unternehmen im Visier

ESET-Telemetriedaten zeigen, dass die Erkennungen für die voraus gegangene Kampagne ab Oktober 2018 bis zur zweiten Dezemberhälfte stetig anstiegen, um Weihnachten eine Pause einlegten und sich dann Mitte Januar 2019 verdoppelten. Die Einbrüche in den Erkennungsraten fanden immer an einem Wochenende statt. Das deutet darauf hin, dass die Malware-Kampagne hauptsächlich auf Unternehmen ausgerichtet war und ist.

Die Kampagne ist offenbar Teil eines übergeordneten Trends, welcher sich seit Anbeginn des Jahres abzeichnet – Das Comeback schädlicher JavaScript-E-Mail-Anhänge als Angriffsvektor.

Die Verbreitung der Shade-Ransomware

Die Shade-Ransomware verbreitende Malware-Kampagne konzentriert sich hauptsächlich auf den russischen Raum mit 52 Prozent aller Erkennungen. Zu den weiteren betroffenen Ländern  gehören aber auch

  • Deutschland
  • die Ukraine
  • Frankreich
  • Japan

Das Shade-Angriffsszenario

Das typische Angriffsszenario, um das schädliche JavaScript zu verbreiten, gestaltet sich folgendermaßen:

  • Ein potentielles Opfer erhält eine russische E-Mail mit einer ZIP-Datei im Anhang namens „info.zip“ oder „inf.zip“.
  • Die E-Mails stammen von augenscheinlich legitimen russischen Unternehmen und scheinen Informationen zu einer Bestellung bereitzustellen.

In einer E-Mail, die durch die ESET-Sicherheitssysteme aufgefangen wurde, heißt es übersetzt:

Betreff: Details zur Bestellung

Hallo!
Wir senden Ihnen die Details zu Ihrer Bestellung. Anbei finden Sie ein Dokument.
Denis Kudrashev, Manager

Das angehangene ZIP-Archiv beinhaltet eine JavaScript-Datei namens “Информация.js“, zu Deutsch: „Informationen“. Wurde das Skript erst einmal extrahiert und gestartet, lädt es einen schädlichen Loader, den ESET als Win32/Injector identifiziert. Letztendlich entschlüsselt und startet dieser Loader die eigentliche Paylaod – die Shade-Ransomware.

Ein schädlicher Loader

Der schädliche Loader wird über eine kompromittierte WordPress-Seite bezogen, der sich dort als Bild-Datei versteckt. Um die WordPress-Webseite zu überwältigen, setzten die Cyber-Angreifer auf großangelegte Brute-Force-Attacken durch automatisierte Bots. ESET-Telemetrie zeigen, dass hunderte Bild-URLs existieren, die alle auf „ssj.jpg“ enden und den Loader beherbergen.

Außerdem versucht sich der Loader noch besser zu tarnen, in dem er den legitimen Windows System-Prozess Client Server Runtime Process (csrss.exe) nachahmt. Dieser kopiert sich selbst in folgendes Verzeichnis: C:\ProgramData\Windows\csrss.exe, wobei „\Windows“ ein versteckter Ordner ist. Normalerweise liegt der Windows-Ordner nicht im ProgramData-Verzeichnis.

Die eigentliche Payload – Shade-Ransomware

ist die Crypto-Ransomware Shade – auch Troldesh genannt. Zuerst entdeckte man die Verschlüsselungs-Malware im Jahr 2014, diese taucht dann aber immer wieder ab und auf. Die Ransomware ist imstande, eine Vielzahl an Dateitypen auf der Festplatte zu verschlüsseln. In jüngeren Malware-Kampagnen fügte die Malware den verschlüsselten Dateien die Endung „.crypted000007“ an.

Die Zahlungsmodalitäten werden den Opfern in Form einer .txt-Datei präsentiert – in Russisch und Englisch – die auf jedes Laufwerk abgelegt wurde. Der Wortlaut der Lösegeld-Forderung stimmt mit dem aus der vorangegangenen Malware-Kampagne überein.

Wie man sich vor Ransomware schützen kann

  • Verdächtige E-Mails auf Authentizität prüfen, bei großer Unsicherheit beim vermeintlichen Absender anrufen und nachhaken. Dazu die Kontaktdaten der echten Webpräsenz nutzen
  • Keine Anhänge oder Links voreilig öffnen
  • Gmail blockiert beispielsweise .js-Anhänge
  • Anerkannte Sicherheitsprodukte, wie die von ESET, erkennen und blockieren schädliche E-Mails
  • WordPress-Webseiten sollten mit einem starken Passwort oder einer noch besseren Passphrase und durch die Zwei-Faktor-Authentifizierung gesichert werden. WordPress selbst, Plugins und Themes müssen regelmäßig aktualisiert werden, um Sicherheitslücken zu schließen

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben