Jüngste Spam-Kampagnen in Deutschland

Originalbeitrag von Alice Decker, Jasen Sumalapao und Gilbert Sison

Anfang Dezember 2016 beobachteten die Sicherheitsforscher von Trend Micro, dass die GoldenEye-Ransomware (RANSOM_GOLDENEYE.A) deutschsprachige Nutzer angriff, und zwar vor allem solche in den Personalabteilungen von Unternehmen. GoldenEye, eine umbenannte Version der Petya– (RANSOM_PETYA) und Mischa- (RANSOM_MISCHA) Ransomware, führte nicht nur das James Bond-Thema der früheren Durchgänge weiter, sondern auch deren Angriffsvektoren. Die Vorhersagen für Ransomware gehen davon aus, dass Persistenz in der Bedrohungslandschaft und eine größere Streuung der Opfer das Bild bestimmen werden. GoldenEye zeigt, wie die Cyberkriminellen ihre Aktivitäten ausweiten wollen und den Profit durch aufbereitete Schadsoftware steigern.

Darüber hinaus gab es auch weitere Spam-Durchgänge in Deutschland sowie eine Steigerung bei der Anzahl der entdeckten Vorkommnisse mit Cerber (RANSOM_CERBER), Petya (RANSOM_PETYA) und Locky (RANSOM_LOCKY).

Ransomware-Vorfälle in Deutschland

Feedback aus dem Smart Protection Network™ benennt Deutschland, die Türkei, Italien, Spanien und Frankreich als die europäischen Länder mit der höchsten Ransomware-Erkennungsrate von Januar bis November 2016. In Deutschland stammte etwas mehr als ein Drittel der Schadsoftware aus bösartigen URLs, während Spam-Mails den Hauptinfektionsweg (63%) darstellten. In der zweiten Novemberwoche erreichten bösartige URLs mit Locky einen Höhepunkt (Anzahl von 700). Bis Mitte Dezember wurden zwischen 50 und 400 URLs geblockt und überwacht.

Wie schon Petya und HDDCryptor kann auch GoldenEye den Master Boot Record eines Systems überschreiben. Die Schadsoftware wurde über Spam-Mails verteilt, die sich als Anschreiben von Jobsuchenden ausgaben. Sie hatten PDFs oder Excel Spreadsheets (XLS) im Anhang, in denen bösartige Makros eingebettet waren.

Bild 1. Snapshot eines gefälschten PDF (links) und einer Spam-Mail mit einer XLS-Datei (rechts), die von GoldenEye verteilt wurden

Eine weitere von Trend Micro erkannte Kampagne nutzte Spam-Mails, die der Cyber-Abteilung der Kölner Polizei nachempfunden waren und die Empfänger des Betrugs beschuldigten. Sie sollten den Anhang öffnen – eine ZIP-Datei mit einer Word-Datei (W2KM_CERBER.DLBZY), die ein bösartiges Makro enthielt, das eine Nachahmung von Cerber (RANSOM_HiddenTearCerber.A) herunterlädt und ausführt. Diese nachgeahmte Ransomware zeigt, wie die Cyberkriminellen am Erfolg von Familien wie CryptXXX, Locky und Cerber anknüpfen, um Profit zu machen.

Die Cerber-imitierende Malware beruht auf der quelloffenen Ransomware Hidden Tear und kommt in drei verschiedenen Builds, um der Erkennung zu entgehen. Sie verschlüsselt 128 Dateitypen, greift die Volume Serial Number des infizierten Systems ab und hängt eine .cerber-Extension an die verschlüsselten Dateien an.

Bild 2. Lösegeldforderung von Hidden Tear Cerber

Wo Rauch ist, ist auch Feuer

Schließlich entdeckten die Sicherheitsforscher noch eine weitere Kampagne, die eine Telekommunikationsfirma als Köder nutzte. Die Spam-Mails enthielten gefälschte URLs des Unternehmens und gaben vor, eine Rechnung für Mobilfunk zu beinhalten. Nutzer sollten einen gezippten PDF-Anhang öffnen, der dann zu einer Variante des Sharik/Smoke Loader (TROJ_SHARIK.VDA)-Trojaners führte.

Sharik/Smoke Loader fügt sich selbst in legitime Prozesse ein und verschickt Systeminformationen an seinen C&C-Server. Er kann Systeme fernsteuern, um bösartige Aktivitäten auszuführen, so etwa Herunterladen anderer Schadsoftware (auf der Basis des Standorts des Systems) und Diebstahl von Zugangsinformationen der FTP-, IM- und Mail-Clients sowie Web Browsers.

Bild 3. Snapshot von Spam-Mail mit Sharik/Smoke Loader

Alte aber weit verbreitete Banken-Trojaner

Auch schon ältere Banken-Trojaner scheinen noch aktiv zu sein. Die Sicherheitsforscher von Trend Micro entdeckten zum Ende des Jahres in Deutschland mehr Aktivitäten von EMOTET (TSPY_EMOTET), DRIDEX (TSPY_DRIDEX) und ZeuS/ZBOT (TSPY_ZBOT). DRIDEX hielt sich erst zurück, und dann entdeckten die Forscher Mitte Dezember etwa 250 aktive URLs. EMOTET wiederum nutzte im November mehr als 100 URLs. Auch Zeus/ZBOT, die seit 2007 aktiv sind, nutzten eine erhebliche Menge aktiver URLs und erreichten von Oktober bis Dezember mit 250 Spitzenwerte.

Diese Trojaner sind zwar alt aber sehr weit verbreitet und wurden vor allem für den Datendiebstahl (Login-Informationen) eingesetzt mit leichten Unterschieden im Betrieb und dem Social Engineering. Die Hintermänner zapfen das Geld direkt aus den Bankkonten ihrer Opfer ab oder verscherbeln die Daten in den Untergrundmärkten.

Maßnahmen

Endbenutzer können mit guten Sicherheits-Practices das Risiko verringern. Dazu gehören Daten-Backup und das Deaktivieren von Makros für Dateien/Anhänge aus nicht angeforderten Mails. Auch ist Vorsicht geboten beim Besuch von Websites und dem Anklicken von Links in verdächtigen Mails. Wichtig ist es auch, Betriebssysteme und Software/Anwendungen auf aktuellem Stand zu halten, um die Angriffsfläche zu verringern.

Verdächtige Anwendungen und Prozesse sowie Netzwerkaktivitäten und Verlangsamung der Performance sind die Alarmzeichen für IT-Admins. Auch empfiehlt es sich, restriktive Policies für Konten und deren Management einzuführen, sodass Mails aus unbekannten Quellen geblockt werden.

Trend Micro-Lösungen

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltens-Monitoring oder Echtzeit-Webreputationsdienste, um gegen Ransomware zu erkennen und zu blocken.

Privatanwender schließlich können sich über Trend Micro Security 10 schützen.

Nutzer können auch die kostenlosen Tools wie Trend Micro Lock Screen Ransomware Tool nutzen, das Screen Locker Ransomware erkennt und entfernt. Das Trend Micro Crypto-Ransomware File Decryptor Tool wiederum kann bestimmte Varianten von Crypto-Ransomware entschlüsseln.

Zugehörige Hashes/Indicators of Compromise (IoCs):
Bösartige Excel-Anhänge (X2KM_GOLDENEYE.A)
2D667B894AFADA90310E932670418F34CA155037
46790D76765CE1A5E01DE1D619068670BD145A3B
958764CB5A5748711A6DBECF227A2CD307A7255D
B002B797966F9247D46B6A7888E39EE5B073B8F5
E617755A2504A912F13C077C6567F83F4EBE1199

Abgelegte Executables (b64-encoded) detected as RANSOM_GOLDENEYE.A
2FFDBF08895C943CB77494FF29E1CF8621320EBC
3E1C62AC20A921C4D2CBF19A01E112FFBBCFB21B
5E592A17C7488B501A60C401FCB06165C012A885
80E0CFC85B7F157E2A758A5DA9A84CC8FEB94314
93E6C9D434D8D80288555F0B8A1314A9D8C1328D
EF3D2563FA3E29C1BE76A149FF91398AB9987775

Hidden Tear Cerber IoCs:
verfahren2016-3248882[.]doc – detected as W2KM_CERBER.DLBZY
6f0b1c63aa8e3ab57fe308d6c67c8413 (MD5)
71fa6f482f001922d75a2fba5eea6a36338aa2a3 (SHA1)

Detected as RANSOM_ HiddenTearCerber.A:
01BEDF18B1A7415F82F955C36FA0A975625746F1 (Themida)
79440D8B1E4B8FA222F1BE78435F43F86796F6DC (NSIS)
E89FB7405E242E359B652E5DD1276D4BA20C5AED (MSIL)

Sharik/Smoke Loader IoCs:
2016_12_19_Rechnung_Kundennr_[.]zip (SHA1):
e9be565ca629f2828be5dbe47c6c865e6dd3df12
21bacd8c51fab29c15c1df8f25f7e91697d3bba1 — TROJ_SHARIK.VDA

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*