Die jüngsten Spam-Aktivitäten der Locky-Ransomware

Originalartikel von Rubio Wu, Threats Analyst

Ransomware stellt die 2017 am häufigsten und am weitesten verbreitete Bedrohung dar, die Verluste in Milliardenhöhe für Unternehmen und Privatpersonen gleichermaßen verursacht hat. Die Locky-Erpressersoftware hat seit ihrem Erscheinen 2016 einen zweifelhaften Ruhm erlangt und feiert derzeit mit neuen Kampagnen ein Comeback.

Bei näherem Hinsehen zeigt sich in den Aktivitäten von Locky eine Konstante: die Nutzung von Spam. Es ist nach wie vor einer der Haupteintrittspunkte für Ransomware, doch nutzen andere, so etwa Cerber auch Vektoren wie Exploit Kits. Locky aber scheint sich immer noch auf die Verteilung der Malware über breit angelegte Spam-Kampagnen zu konzentrieren, unabhängig von den Varianten, die die Entwickler/Betreiber herausbringen.

Bild 1: Zeitachse der Entdeckung von Locky auf der Basis des Feedbacks der Mail-basierten Sensoren von Trend Micro

Die Necurs Connection

Die Sicherheitsforscher fanden auch heraus, in welchem Maße die Verteilung von Locky durch das Necurs Botnet beeinflusst wird. Necurs ist eine Spam-Verteilungsinfrastruktur, die Zombie-Geräte mit einschließt. Sie verteilt große Mengen von Spam-Mails, die Information Stealer wie Gameover ZeuS, ZBOT oder Dridex beinhalten sowie weitere Ransomware-Familien wie CryptoLocker, CryptoWall und Jaff.

Necurs ist bekanntermaßen Lockys langjähriger Partner, und es ist kein Zufall, dass der Anstieg von Locky-umfassenden Spam-Mails mit der steigenden Aktivität von Necurs zusammenfällt. Die Forscher konnten beobachten, dass Necurs aktiv Locky von August bis Oktober verteilt hat:

Bild 2: Necurs-Botnet verteilt Locky-Varianten vom 29. August bis zum 11. Oktober 2017

Auch verbreitete Necurs Locky über URL-Spam-Mails, also Nachrichten ohne Anhang. Die Forscher fanden auch eine URL-Spam-Kampagne erheblichen Umfangs, die separat die Trickbot Banking-Schadsoftware (TSPY_TRICKLOAD) verteilte. Die Routine ähnelt der einer anderen Kampagne, bei der Cyberkriminelle ihre Payloads abwechselnd mit FakeGlobe und Locky bestückten. Die Payload änderte sich abhängig von der geografischen Region: westliche Länder wurden eher mit Trickbot beliefert, während Länder wie Japan oder Taiwan eher Locky serviert bekamen.

Bild 3: Beispiel einer URL-Spam-Mail, die entweder Trickbot oder Locky verteilt

Spam-Anhänge: Lockys Testbereich?

Das Auf und Ab von Locky-Aktivitäten passt zu anderen cyberkriminellen Aktionen. Sie können als Intervalle aufgefasst werden, um Lockys Infektionskette zu verfeinern und zu diversifizieren. Am wahrscheinlichsten passt diese Interpretation auf die jüngsten Diablo- und Lukitus-Varianten, die bösartige (oder als solche vorgebende) PDF und Image-Dateien (JPEG, TIFF). Es handelt sich um Abweichungen von den üblichen Vektoren, Word-Dokumente mit eingebetteten bösartigen Makros oder Visual Basic-Skripts (VBS).

Die Forscher entdeckten auch, wie Locky sich bezüglich von Spam-Anhängen diversifizierte. Das Necurs Botnet etwa favorisiert zunehmend die Verteilung von Spam-Mails mit HTML-Dateien. Die von Trend Micro überwachte Locky Spam-Kampagne Mitte September nutzte ebenfalls Word-Dokumente mit bösartigen Makros, doch waren sie so programmiert, erst nach dem Schließen der Datei zu laufen und Locky herunterzuladen. Locky nutzte auch Windows Script File (WSF) und Dynamic-Link Libraries (DLL) als Infektionsvektoren. Daher ist es nicht von der Hand zu weisen, dass die Ransomware auch andere Dateitypen missbraucht hat:

Bild 4: Die von Locky-beinhaltenden Spam-Mails genutzten Dateitypen (von Januar bis September 2017)

Lockys übliche Social Engineering-Köder

Trotz der scheinbaren Vielfalt gibt es einige Gemeinsamkeiten in Lockys Social Engineering, vor allem bei den Betreffs und Inhalten. Zu den neueren Ködern gehören die folgenden:

  • Fake Sprachnachrichten (Vishing, oder die Nutzung von Sprachsystemen in Phishing-Angriffen)
  • HTML-Anhänge geben vor, Rechnungen zu sein
  • Archivdateien, als Geschäftsschreiben von multinationalen Unternehmen getarnt, etwa Audit- und Budget-Reports
  • Betrügerische Mails zu Geldüberweisungen wie Rechnungen, Paket-/Lieferbestätigungen und Zahlungsbestätigungen

Der Verteilungsmechanismus ist bei jeder Ransomware eine kritische Komponente. Lockys Infektionsvektoren zeigen die Bedeutung eines mehrschichtigen Ansatzes zur Absicherung der Vertraulichkeit, Sicherheit und Integrität von Gateways, Endpoints, Netzwerken oder Servern, die geschäftskritische oder persönliche Daten verwalten und speichern.

Unternehmen sollten die Best Practices gegen Ransomware befolgen: Systeme auf aktuellem Stand halten, Mail-Gateways sichern und regelmäßige Backups der Daten anfertigen. Zudem sollten tiefergehende Verteidigungsmaßnahmen ergriffen werden: Durchsetzen des Prinzips der Mindestprivilegien, virtuelles Patching und zusätzliche Sicherheitsschichten gegen bösartige Dateien- und Netzwerkaktivitäten.

Lösungen von Trend

Trend Micro™ Hosted Email Security ist eine wartungsfreie cloudbasierte Lösung, die permanent aktuellen Schutz bietet, um Bedrohungen wie Locky zu stoppen, bevor diese das Netzwerk erreichen. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro™ Smart Protection for Endpoints mit XGen™ Security Machine Learning-Technologien kombiniert mit einer Reihe von Schutztechniken, um alle Sicherheitslücken auf jeglichen Endpunkten zu schließen und so den bestmöglichen Schutz vor fortgeschrittenen Angriffen zu bieten.

Trend Micro Deep Security™ stoppt Ransomware, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltens-Monitoring oder Echtzeit-Webreputationsdienste, um Ransomware zu erkennen und zu blocken. Privatanwender schließlich können sich über Trend Micro Security 10 schützen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*