Krypto-Ransomware: Paketbenachrichtigungen als Köder

Originalartikel von Luis Raul Parra, Technical Account Manager

Derzeit haben Paketdienste Hochkonjunktur, und niemand wundert sich, wenn die Ankündigung eines Pakets im elektronischen Posteingang liegt. Dies machen sich auch Cyberkriminelle zunutze und verwenden für ihre Krypto-Ransomware-Angriffe die Paketankündigungen als Social Engineering-Köder — vor allem in der EMEA (Europe, Middle EastAfrica)-Region. Das ist neu, nutzten doch die Kriminellen bislang vor allem Rechnungen oder Kontoauszüge als Köder.
Die Daten aus dem Trend Micro Smart Protection Network zeigen, dass bestimmte Länder in den letzten drei Monaten verstärkt ins Visier dieser Angriffe geraten sind. Darunter befinden sich Spanien, Frankreich, die Türkei, Italien und auch Deutschland:

Bild 1. Die von Infektiionen am meisten betroffen Länder in EMEA, September 2014


Bild 2. Die von Infektiionen am meisten betroffen Länder in EMEA, Oktober 2014


Bild 3. Die von Infektiionen am meisten betroffen Länder in EMEA, November 2014

Der Infektionsweg

Krypto-Ransomware-Varianten nutzen fast immer dieselbe Routine. Das Opfer erhält eine Mail, die einen Link oder einen Anhang umfasst. Mit Social Engineering-Taktiken stellen die Angreifer sicher, dass das Opfer den Link anklickt oder den Anhang öffnet, der aus einer bösartigen Datei besteht. Das Beispiel zeigt eine Mail zu einem erhaltenen Päckchen:


Bild 4. Beispielnachricht

Sobald der Empfänger den Link anklickt, wird er auf eine andere Site umgeleitet, wo er einen CAPTCHA Code eingeben muss. Diese Site ist eine nachgemachte Version eines Paketdienstes.


Bild 5. CAPTCHA Code ist für den Zugriff auf die Datei erforderlich

Nach der Eingabe des CAPTCHA Codes wird der Download einer Archivdatei angestoßen. Bevor aber die eigentliche Payload – Dateiverschlüsselung – ausgeführt wird, muss der Nutzer noch die bösartige Datei extrahieren. Trend Micro hat diese bestimmte Variante als TROJ_CRYPLOCK.WJP identifiziert.

Bild 6. Eine ZIP-Datei wird heruntergeladen

(Nicht) Zahlung des Lösegelds

Opfer wollen unter Umständen das Problem gleich lösen, indem sie der Forderung nachkommen. Doch gibt es keine Garantie dafür, dass danach auch die Entschlüsselung erfolgt. Einige Krypto-Ransomware-Varianten bieten sogar eine kostenlose Entschlüsselung eines Musters. Doch auch dies ist eher als Trick zu sehen, um Nutzer davon zu überzeugen, dass Entschlüsselung möglich ist, wenn sie die geforderte Summe zahlen.

Gegenmaßnahmen

Trend Micro hat bereits ausführlich über die zu unternehmenden Schritte für den Schutz vor der Schadsoftware geschrieben. Zu diesen Sicherheitsmaßnahmen gehören das Definieren von Mail-Policies, um potenzielle Bedrohungen via Anhänge zu blocken, und das Installieren von Antispam- oder Mail-Scanning-Lösungen.

Nutzer können auch einige Settings umkonfigurieren, um eine weitere Schutzschicht aufzubauen. So lässt sich etwa das Sicherheitslevel der Makros erhöhen, oder sie können gar deaktiviert werden. Auch sollten die User Access Control (UAC)-Einstellungen aktiviert sein, um bösartige Anwendungen daran zu hindern, sich selbst Admin-Rechte zu geben.

Der Einsatz von stets aktuellen Sicherheitslösungen für den Schutz der Geräte ist von entscheidender Bedeutung. Diese Programme sollten über Fähigkeiten wie Scanning in Echtzeit verfügen, die bösartige Dateien entdecken und blocken können, aber auch Webreputations-Services nutzen, um jede verseuchte Website und Kommunikation zu blocken, sowie mithilfe von E-Mail-Reputation nach möglichen Bedrohungen in den Mails zu suchen. Verhaltens-Monitoring verbessert die Sicherheit eines Systems ebenfalls erheblich, denn damit lassen sich verdächtige Routinen ausmachen und blocken.

Unternehmen können ihre Systeme mit Trend Micros Custom Defense-Lösung Deep Discovery Email Inspector schützen. Die Lösung entdeckt und blockt bösartige Mails, bevor sie an den anvisierten Nutzer ausgeliefert werden, denn sie analysiert den Angriff aus verschiedenen Blickwinkeln, zusammen mit dem forensischen Tool, das Deep Discovery Endpoint Sensor beinhaltet. Auf diese Weise werden etwa Dateien, Registry Keys oder Prozesse im Netzwerk erkannt, die im Zusammenhang mit der Bedrohung stehen. Der Inspector schickt zudem markierte Anhänge an Deep Discovery Analyzer zur Untersuchung.

Der Hash der erwähnten Malware ist:

ec447c585ab0b0b501c3d6d06a370d2d963f87dc1d751acaeb4e40f9f7ffa665

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.