Neues Exploit Kit Bizarro Sundown verbreitet Locky

Originalbeitrag von Brooks Li und Joseph C. Chen, Threat Analysts

Ein neues Exploit Kit verbreitet verschiedene Versionen der Locky Ransomware. Die Sicherheitsforscher von Trend Micro entdeckten zwei Fälle dieser neuen Bedrohung auf Basis des früheren Sundown Exploit Kits. Sundown wurde bekannt (zusammen mit Rig), nachdem das damals die Szene beherrschende Neutrino Exploit Kit abgelöst wurde.

Bizarro Sundown wurde in der ersten Version am 5. Oktober gesichtet und zwei Wochen später nochmals. Mehr als die Hälfte der Opfer gab es in Taiwan und Korea. Bizarro Sundown hat einige Fähigkeiten mit seinen Vorgängern gemeinsam, besitzt aber zusätzliche Anti-Analyse-Features. Beim zweiten entdeckten Angriff hatten die Kriminellen das URL-Format dahingehend geändert, dass es legitimer Webwerbung sehr ähnelt. Beide Versionen wurden exklusiv von der ShadowGate/WordsJS-Kampagne genutzt.

Die 2015 entdeckte ShadowGate-Kampagne peilte die lokal installierten quelloffenen Werbungs-Server von Revive und OpenX an. Nach deren Kompromittierung agieren die Server als Gateways für das Exploit Kit zur Verbreitung der Schadsoftware. Einige der mit der Kampagne in Zusammenhang stehenden Domänen wurden geschlossen. Kürzlich entdeckten die Forscher, dass die Kampagne 181 kompromittierte Sites für die Verbreitung von Ransomware nutzten. Im September 2016 nutzte ShadowGate das Neutrino Exploit Kit, um eine Locky-Variante zu verbreiten (die verschlüsselten Dateien hatten die Extension .zepto). Im Oktober dann wechselte die Kampagne zu Bizarro Sundown und zwei Wochen später gab es bereits eine modifizierte Version.

Ausmaß und Verbreitung der Angriffe

Interessant im Zusammenhang mit der Zahl der Opfer von Bizarro Sundown ist die Tatsache, dass an Wochenenden keine Opfer zu verzeichnen sind.

Bild 1. Zeitschiene und Zahl der Bizarro Sundown-Opfer

Die Sicherheitsforscher stellten fest, dass die ShadowGate-Kampagne während der Wochenenden ihre Umleitungs-Scripts von den kompromittierten Servern entfernten und während der Woche ihre Aktivitäten wieder aufnahmen. Neben den in erster Linie betroffenen Ländern Taiwan und Südkorea waren vor allem Deutschland, Italien und China im Visier der Kampagne.


Bild 2. Verteilung der Bizarro Sundown-Angriffe nach Ländern

Die erste Version von Bizarro Sundown nutzte eine Hauptspeicher-Sicherheitslücke im Internet Explorer (CVE-2016-0189, geschlossen im Mai 2016) sowie zwei Fehler in Flash: CVE-2015-5119, CVE-2016-4117. Der eine wurde bereits im Juli 2015 behoben, der andere im Mai 2016. Die zweite Version von Bizarro Sundown setzte lediglich auf die zwei Flash-Exploits. Einzelheiten liefert der Originalbeitrag.

Gegenmaßnahmen

In erster Linie bedarf es einer robusten Backup-Strategie als Verteidigungsmaßnahme gegen Ransomware, und ein solides Patch-Management hilft darüber hinaus den Perimeter des Geräts abzusichern. Die Risiken der Ausnutzung von Sicherheitslücken, die bereits von den Softwareanbietern geschlossen wurden, lassen sich durch eine stetige Aktualisierung des Betriebssystems und anderer installierter Software minimieren. Für Systeme, wo dies nicht sofort möglich ist, sollte das so genannte virtuelle Patching angewendet werden.


Bild 3. Ein Snapshot von Trend Micro Deep Security™ mit Virtual Patching

Nutzer und Unternehmen können auch von einem mehrschichtigen Sicherheitsansatz profitieren, der Gateway, Endpoints, Netzwerke und Server mit einbezieht. Auch ist eine Sicherheitslösung zu empfehlen, die proaktive Verteidigung gegen Angriffe bietet, die System- und Software-Sicherheitslücken ausnützen.

Zu den Indicators of compromise (IoCs) gehören:

SHA1 erkannt als RANSOM_LOCKY.DLDSAPZ

  • 867ed6573d37907af0279093105250a1cf8608a2

Im Zusammenhang mit ShadowGate:

  • jewelry[.]earwhig[.]net
  • ads[.]phoenixhealthtechnology[.]com

Im Zusammenhang mit Bizarro Sundown Exploit Kit:

  • aided[.]theteragroup[.]com
  • references[.]vietnamesebaby[.]com
  • ads[.]dubleywells[.]com

Dank an @kafeine für dessen Zusammenarbeit bei dieser Recherche/Analyse

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*