Neue Crypto-Ransomware Locky nutzt verseuchte Word-Makros

Von Trend Micro

Die kürzlich entdeckte neue Crypto-Ransomware Locky nutzt eine ungewöhnliche Verbreitungsmethode. Locky infiltriert Systeme über ein verseuchtes Makro in einem Word-Dokument. Ransomware, die auf Makros baut, war bislang selten, und die Verteilungstechnik könnte in Zusammenhang mit dem berüchtigten Banking-Schädling DRIDEX gebracht werden, der dieselbe Methode einsetzt.
Locky gelangt in die Systeme der Opfer über Mail und tarnt sich als Rechnung, die in einem Word-Dokument als Anhang mitgeliefert wird. Sicherheitsforschern zufolge steht im Betreff ATTN: Invoice J-98223146, und dem Empfänger wird mitgeteilt: „Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice.“

Aus Sicherheitsgründen sind Makros standardmäßig deaktiviert. Microsoft begründet dies in einem Sicherheitsbulletin wie folgt: „Makros machen Ihren Computer anfällig für potenziell bösartigen Code und sind nicht zu empfehlen.“ Sind Makros aktiviert und ein herunter geladenes Dokument wird geöffnet, startet die Installation der Schadsoftware. Wenn nicht, so sieht das ahnungslose Opfer Zeilen unverständlichen Textes, der den Nutzer anweist, die „Makros zu aktivieren, sollte das Daten-Encoding nicht korrekt sein“.

Lockys ausführbare Datei wird von einem Webserver heruntergeladen. Sobald der Schädling installiert ist, beginnt er nach angeschlossenen Laufwerken zu suchen (einschließlich Netzwerkfreigaben) und verschlüsselt Dateien wie Dokumente, Bilder, Musik, Videos, Archive, Datenbanken und andere zu Webanwendungen gehörende Dateien. Die verschlüsselten Dateien werden umbenannt und erhalten die Endung „.locky“. Wie andere Ransomware-Varianten auch, wird eine Lösegeldforderung in verschiedenen Sprachen in jedem Verzeichnis, das verschlüsselt wurde, abgelegt. Die Opfer werden für die Bezahlung in ein Tor-Netzwerk weitergeleitet. Die Zahlung soll in Bitcoins (0,5 BTC) erfolgen.

Forscher von Palo Alto Networks haben 446.000 Sessions gezählt im Zusammenhang mit dieser neuen Ransomware, wobei mehr als die Hälfte (54%) Opfer in den USA betrifft. Trend Micro hat diese Ransomware-Variante als RANSOM_LOCKY.A erkannt. Zusätzlich zu den USA wurde sie auch in anderen Ländern wie Japan, Deutschland, Frankreich, Italien, Großbritannien, Mexiko, Spanien, Israel und Indien entdeckt.

Die nähere Analyse durch Trend Micros Sicherheitsforscher zeigt auch, dass nicht nur der gleiche Makro-Downloader wie bei DRIDEX vorhanden ist, sondern auch die Art wie die Downloader codiert sind, ist gleich. Beide nutzen denselben Dateinamen (ladybi.exe), wenn sie auf dem System abgelegt werden.

Auch sind die Forscher auf einen Zusammenhang zwischen Locky und anderen Crypto-Ransomware Varianten gestoßen. Locky, CRYPTESLA und CRILOCK werden von demselben Packer gepackt. Das bedeutet, dass das Tool entweder von demselben Distributor stammt, oder dass dieser Packer für verschiedene Ransomware-Autoren leicht zugänglich ist.

Ransomware-Infektionen sind sehr effiziente und schädliche Angriffe, die hohe Profite aus ihren Opfern schlagen. Einer der bemerkenswertesten Vorfälle ist ein Angriff, der Systeme und Netzwerke des Hollywood Presbyterian Medical Center für mehr als eine Woche lahmgelegt hatte. Die Krankenhausadministration gab später zu, ein Lösegeld von 40 Bitcoins oder 17.000$ gezahlt zu haben, um die betroffenen Systeme wiederherstellen zu können.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*