Nach Angler: Wechsel in Exploit Kit-Landschaft und neue Crypto-Ransomware-Aktivitäten

Originalartikel von Joseph C Chen, Fraud Researcher

Anfang des Jahres berichtete Trend Micro darüber, dass Angler 2015 mit 59,5% aller Exploit Kit-Aktivitäten das meist genutzte Kit war. Mittlerweile ist davon kaum etwas übrig geblieben. Nach der Verhaftung von 50 Hintermännern, die der Nutzung von Malware für den Diebstahl von 25 Mio. $ beschuldigt werden, hat Angler praktisch die Arbeit eingestellt. Als Folge scheinen die Cyberkriminellen nach neuen Exploit Kits für die Verbreitung von Schadsoftware zu suchen. Angler bot ihnen viele Vorteile, denn die Schadsoftware war am aggressivsten, wenn es um die Einbindung neuer Exploits ging, und konnte auch viele Antiviren-Verhinderungstechniken einsetzen, so etwa Verschlüsselung der Payload und Infektionen ohne Dateien.

Die derzeitigen Aktivitäten anderer Exploit Kits stehen in keinem Vergleich zu denen von Angler. Anscheinend wurden nicht alle Bedrohungsaktivitäten im Zusammenhang mit Angler in andere Exploit Kits verschoben.

Bild 1. Exploit Kit-Aktivitäten vom 15. Mai bis 15. Juni 2016

Das Verschwinden von Angler stört allerdings die Verteilung von Ransomware nicht wirklich. Magnitude legt seit März dieses Jahres Cerber ab, und Rig verteilt seit letztem Jahr CryptoWall und TeslaCrypt. Auch CryptXXX-Kampagnen sind von Angler auf Neutrino übergegangen. Neu aufgetauchte Familien nutzen Rig und Sundown – also die Underdogs – als Verteilungsmechanismus.

Underdogs

Das Rig Exploit Kit nutzt eine Zero-Day-Lücke aus dem Nachlass des Hacking Teams, und auch Adobe Flash Player-Sicherheitslücken. Die Sicherheitsforscher fanden Rig in kürzlich durchgeführten Malvertising-Kampagnen, die nahezu 40 Länder ins Visier nahmen.

Bild 2. Verteilung der Rig-Erkennung vom 1. – 16. Juni 2016

Sundown wiederum nutzt so genannte Use-After-Free Lücken in Adobe Flash Player. Auch Sundown ist in Japan sehr aktiv.

Bild 3. Verteilung der Sundown-Erkennung vom 1. – 16. Juni 2016

Ablegen neuer Ransomware

Es zeigt sich, dass Rig eine neue Ransomware-Familie ablegt (RANSOM_GOOPIC.A). Die Erpressungssoftware verlangt 500 $ Lösegeld und besitzt ein sehr professionell aufgesetztes Interface.


Bild 4. GOOPIC Ransomware Interface

Auch gewährt die Ransomware ihren Opfern eine längere Zahlfrist, bevor die verschlüsselten Daten permanent gesperrt werden. Frühere Erpressersoftware setzte die Frist auf 24 bis 72 Stunden, und auch Familien wie CryptXXX gab ihren Opfern 90 Stunden Zeit, das Lösegeld zu zahlen.


Bild 5. Mehr als 200 Stunden Zahlungsfrist

Sundown wiederum verteilt CryptoShocker (RANSOM_CRYPSHOCKER.A), der allerdings nicht so alarmierend ist, wie der Name klingt. Er verlangt 200 $ Lösegeld und preist auch einen Bitcoin Exchange Service an.


Bild 6. CryptoShocker-Lösegeldnachricht

Veraltete und nicht gepatchte Systeme und Anwendungen sind die hauptsächlichen Gateways für Exploit Kits. Deshalb sollten Anwender ihre Systeme immer auf aktuellem Stand halten. Auch ist es nicht ratsam, Links aus unbekannten Quellen anzuklicken.

Trend Micros Lösungen

Trend Micro bietet verschiedene Lösungen für den Schutz von Unternehmen jeder Größe und auch für Privatanwender-

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Privatanwender schließlich können sich über Trend Micro Security 10 schützen.

Nutzer können auch die kostenlosen Tools wie Trend Micro Lock Screen Ransomware Tool nutzen, das Screen Locker Ransomware erkennt und entfernt. Das Trend Micro Crypto-Ransomware File Decryptor Tool ist kostenlos und kann bestimmte Varianten von Crypto-Ransomware entschlüsseln.

Hashes für damit zusammenhängende Dateien:

  • d6bbf02ec922ba035d863ec813221f15ab4c2bfb – RANSOM_GOOPIC.A
  • 02126b0f507d38b03624599e782931e43c5e7141 – RANSOM_CRYPSHOCKER.A

Weitere Analysen von Jaaziel Carlos

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*