RAMNIT: die Comeback Story des letzten Jahres

Originalbeitrag von Trend Micro

Anfang dieses Jahres veröffentlichte Action Fraud, das britische Cyberkriminalitäts-Reporting-Zentrum, eine Warnung, dass Kriminelle Phishing-Mails mit dem vorgeblichen Absender Migrant Helpline versenden. Migrant Help ist eine gemeinnützige Organisation, die Einwanderer unterstützt. Die Mails enthielten einen Fake-Link auf eine Spendenseite. Doch beim Anklicken des Links landeten Spendenwillige auf einer Seite, wo sie unbeabsichtigt eine der hartnäckigsten Schadsoftware herunter luden: den altbekannten Trojaner RAMNIT, der 2016 ein Comeback feierte.

Daten aus dem Smart Protection Network™ zufolge wurden mehrere RAMNIT-Varianten auf Computersystemen entdeckt. RAMNIT war die Top-Banking Malware in jedem einzelnen Quartal 2016 – erstaunlich, da Europol im Februar 2015 mehrere der Command-and-Control-Server geschlossen hatte. Damals ging man davon aus, dass RAMNIT bis zu 3,2 Millionen Nutzer infiziert hatte.

Ausgehend vom Umfang der Operation wurde angenommen, dass die Infekionen mit RAMNIT nach dem Shutdown erheblich zurückgehen. Doch nach einer Delle im Februar 2015 gab es bereits im Monat darauf wieder Infektionen, die bis zum Ende des Jahres bei mehr als 10.000 blieben. Berichten zufolge tauchte die Malware im Dezember 2015 und August 2016 wieder auf, und das mag der Grund für die Spitzen in den nachfolgenden Monaten sein.


Bild 1. RAMNIT-Infektionsdaten für 2015 und 2016

Wichtig ist es, zwischen RAMNIT-Malware und den Cyberkriminellen, die für deren Verbreitung zuständig sind, zu unterscheiden. Ein ähnlicher Fall ist DRIDEX: 2015 vom FBI ins Visier genommen und unter ähnlichen Umständen wie der Banken-Trojaner später wieder aufgetaucht. Dies zeigt, dass Shutdowns nicht zwingend mit aufkommenden Infektionen korreliert werden können. Vermutlich ist RAMNIT über den „Horizont“ der ursprünglichen Bedrohungsakteure hinaus gewachsen. Dies zeigt auch das Vorhandensein der Malware während des gesamten Jahres 2016.

Permanente Weiterentwicklung

2010 entdeckten die Sicherheitsforscher von Trend Micro die erste Variante von RAMNIT, HTML_RAMNIT.ALE, ein Basis-HTML-Trojaner, der seine Payload im infizierten System ablegt und ausführt. Diese erste Variante ist relativ unkompliziert im Vergleich zu den beiden 2016 nach dem Shutdown entdeckten Varianten VBS_RAMNIT.SMC und PE_RAMNIT. Weitere Einzelheiten zur Geschichte der Schadsoftware liefert der Originalbeitrag.

Bild 2: RAMNIT-Infektionsablauf

VBS_RAMNIT.SMC wird ausgeführt, sobald ein Nutzer auf die Website zugreift, die die Malware hostet. Danach wird PE_RAMNIT abgelegt und ausgeführt. Diese Schadsoftware ist bekannt dafür, ein hohes Schadenspotenzial sowohl mit Backdoor- als auch mit Diebstahlfähigkeiten zu besitzen. Die Malware nutzt C&C-Kommunikation, um Remote Befehle zu erhalten und Informationen wie gestohlene Cookies und Kontodaten zu senden. Auch fügt sie bösartigen Code in Banken-Webseiten ein, um vertrauliche Kundeninformationen von harmlosen Opfern zu erlangen. Des Weiteren kopiert sie sich in alle laufenden Prozesse, um permanent im Speicher zu lagern, und löscht Antivirus-bezogenen Registry Keys, um nicht entdeckt zu werden.

RAMNITs Fähigkeit, sich weiterzuentwickeln und zu verbreiten, ist einer der Gründe für seine Allgegenwart. Ein weiterer besteht in der Vielfalt der Verteilungskanäle, zu denen traditionelle Phishing-Kampagnen über Mail und Social-Engineering-Angriffe gehören.

Kürzlich wurde RAMNIT auch via Angler Exploit Kit in einer infizierten Website verbreitet. Als Infektor kann RAMNIT leicht auf neue Opfer übergehen, die ihre infizierten Dateien nicht säubern können und somit anfällig auf neue Infektionen sind.

Prävention ist das beste Gegenmittel

RAMNITs Erfolg beweist, dass Nutzer immer noch auf “klassische” Bedrohungen hereinfallen. Daher ist nicht nur höchste Vorsicht geboten, sondern auch Richtlinien und Best Practices zum Schutz der Unternehmen sind von Bedeutung. Einige Empfehlungen:

  • Organisationen müssen ihre Endnutzer auf Best Practices für E-Mail– und Sicherheit in den sozialen Medien schulen.
  • Netzwerkadministratoren sollten die E-Mail-Sicherheit mit einer effizienten Antispam-Strategie verstärken. Dazu gehören die Optimierung der Webfilter und der Erkennungs-Level. Darüber hinaus sollten alle verdächtigen Mails mit eingebetteten Links an die IT-Abteilung zur Analyse gemeldet werden.
  • Auch sollten Nutzer wissen, worauf sie achten müssen, um Social Engineering-Taktiken der Cyberkriminellen zu erkennen.
  • Implementierung von Zweifaktoren-Authentifizierung und die regelmäßige Verwaltung von Konten-Passwörtern unterstützt den Schutz der Nutzer.

Lösungen von Trend Micro

Trend Micro schützt die Anwender und Organisationen über Smart Protection Suites und Trend Micro Security 10. Der Anbieter liefert umfassende, mehrschichtige Lösungen, mit Fähigkeiten zur Erkennung von Schadsoftware, dem Blocken von bösartigen URLs, die Trojaner wie RAMNIT verbreiten. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Mail Gateway-Sicherheit über Hosted Email Security.

Zusätzliche Einsichten von Nikko Tamaña

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*