Neuer CryptoLocker verbreitet sich über Wechselmedien

Originalartikel von Abigail Pichel, Technical Communications

Kürzlich entdeckten Sicherheitsforscher eine CryptoLocker-Variante mit bemerkenswerter neuer Funktionalität: Sie umfasst Verbreitungsroutinen. Die Analyse der Schadsoftware (WORM_CRILOCK.A) zeigte, dass sie sich über Wechselmedien verbreitet.

Abgesehen von den Verbreitungsroutinen, die die Ausbreitung im Vergleich zu früheren CRILOCK-Varianten sehr erleichtern, unterscheidet sich die aktuelle Malware in vielerlei Hinsicht. Sie nutzt für die Infektion von Systemen keine Downloader wie etwa UPATRE, sondern gibt vor, ein Aktivierer für verschiedene Software wie Adobe Photoshop oder Microsoft Office in Peer-to-Peer File Sharing-Sites zu sein. Infolge des Hochladens von Schadsoftware auf P2P-Sites können Cyberkriminelle die gewünschten Systeme einfach infizieren, ohne Spam-Nachrichten verschicken zu müssen.

WORM_CRILOCK verzichtet auf Domain Generation Algorithmen (DGA) und hat seine Command-and-Control-Server in die Malware fest codiert. Die fest „verdrahteten“ URLs vereinfachen das Aufspüren und Blockieren der damit in Zusammenhang stehenden bösartigen URLs. DGAs wiederum machen es Cyberkriminellen möglich, durch die Vielzahl der potenziellen Domänen der Entdeckung zu entgehen. Möglicherweise wird die Schadsoftware im Moment noch verbessert und verfeinert, so dass spätere Versionen die DGA-Funktionalität umfassen werden.

Die Unterschiede dieser CRILOCK-Variante zu anderen haben zur Vermutung geführt, es handele sich dabei um das Produkt eines Nachahmers. Doch unabhängig vom Autor zeigt WORM_CRILOCK, dass seine Methode bei den Cyberkriminellen zum neuen Renner werden könnte.

Nutzer sollten P2P-Sites für das Kopieren von Software meiden, und stattdessen Software immer von offiziellen Seiten oder solchen mit gutem Ruf herunterladen. Vorsicht ist auch bei der Nutzung von Flash Drives geboten. Zusätzliche Schutzmaßnahmen gegen CryptoLocker sind im Blog-Eintrag Defending Against CryptoLocker enthalten.

Trend Micro setzt AEGIS (Verhaltensmonitoring) ein, um alle Bedrohungen zu aufzuspüren, die mit dieser Schadsoftware in Zusammenhang stehen. Weitere Informationen zu Hintergründen von Ransomware liefert die FAQ-Seite zu CryptoLocker.

Zusätzliche Einsichten von Mark Manahan und Jimelle Montese

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*