TorrentLocker ändert die Angriffsmethode

Originalbeitrag von Jon Oliver, Senior Architect

Die eine Weile wenig aktive TorrentLocker-Ransomware ist wieder da und hat neue Varianten (Ransom_CRYPTLOCK.DLFLVV, Ransom_CRYPTLOCK.DLFLVW, Ransom_CRYPTLOCK.DLFLVS und Ransom_CRYPTLOCK.DLFLVU). Diese Varianten nutzen einen Auslieferungsmechanismus, der Dropbox-Konten dafür missbraucht. Es ist eine neue Art des Angriffs und bestätigt die Vorhersagen von Trend Micro für 2017, dass Ransomware über die üblichen Angriffsvektoren hinaus weiterentwickelt wird.

TorrentLocker war auch nach seinen Spitzenzeiten weiterhin aktiv, und die niedrigen Erkennungsraten erlaubten den Akteuren im Hintergrund weiterzuarbeiten.

Ein bekannter Feind in neuer Tarnung

Die neuen TorrentLocker-Varianten weisen ein ähnliches Verhalten auf wie die früheren, wobei die Hauptänderungen in der neuen Verbreitungsmethode bestehen und in der Art, wie das Schadsoftware-Executable selbst verpackt ist..

Beispielsweise beginnt ein neuer TorrentLocker-Angriff mit einer E-Mail, die vorgibt, eine Rechnung eines Lieferanten der Firma des Empfängers zu sein. „Die Rechnung“ selbst kommt nicht als Anhang, sondern wird über einen Dropbox-Link zugänglich. Der Link umfasst einen Text mit Referenzen auf Rechnungen, Rechnungsstellungen oder Kontonummern, um authentischer zu wirken. Durch die Nutzung von Dropbox als URL-Link kann TorrentLocker Gateway-Sensoren umgehen, denn es gibt keinen Anhang, und der Link kommt von einer legitimen Website.

Bild 1: Beispiel einer TorrentLocker Phishing-Mail

Sobald der Nutzer den Link anklickt, wird eine als Rechnung getarnte JavaScript-Datei (JS_NEMUCOD) auf den Computer des Opfers herunter geladen. Versucht der Nutzer die gefälschte Rechnung zu öffnen, wird eine weitere JavaScript-Datei in den Speicher geladen und danach die Payload auf dem System ausgeführt.

Auffällig ist auch, dass die neuen TorrentLocker-Varianten als NSIS Installer verpackt sind, um der Entdeckung zu entgehen. Auch andere bekannte digitale Erpressungssoftware wie CERBER, LOCKY, SAGE und SPORA nutzt diese Technik.

Ausmaß der Angriffe

Vom 26. Februar bis zum 6. März entdeckte das Smart Protection Network 54.688 Spam-Mails, die URLs für 815 verschiedene DropBox-Konten enthielten. Der Großteil der Angriffe fand in Europa statt, wobei Deutschland und Norwegen am meisten betroffen waren. In Norwegen erreichten die Angriffe Ende Februar ihren Höhepunkt und wechselten dann Anfang März allmählich nach Deutschland. Die Angreifer waren unter der Woche am aktivsten, und die Sicherheitsforscher von Trend Micro entdeckten die meisten Infektionen zwischen 9 und 10 Uhr morgens – das heißt zu Arbeitsbeginn, da dann die Wahrscheinlichkeit, dass die Mitarbeiter ihre Mails ansehen, am höchsten ist. Unternehmen nutzen Dropbox üblicherweise für die Verwaltung und den Transfer ihrer Dateien. Daher kann es gut sein, dass ein gutgläubiger Mitarbeiter an der Legitimität eines URLs in seiner Mail nicht zweifelt.

Bild 2: Zeitachse mit den Spitzenzeiten der Angriffe


Bild 3: Verteilung der Angriffe

Trend Micro ist wegen der Angriffe mit Dropbox in Kontakt. Deren Sicherheitsteam hat alle Dateien, die bislang entdeckt wurden, entfernt und die entsprechenden Nutzer gesperrt.

Gegenmaßnahmen gegen Torrent Locker

Angesichts der Täuschungsmanöver des neuen TorrentLocker und anderer ähnlicher Ransomware müssen Organisationen eigens Schritte unternehmen, um sich vor dieser Art der Social Engineering-Angriffe zu schützen. Dazu gehört in erster Linie das Training der Mitarbeiter zu Best Practices gegen Phishing-Angriffe: das heißt, Mails auf verdächtige Inhalte wie URLs oder Absender prüfen. Endbenutzer sollten wissen, dass sie keine Anhänge herunterladen oder nicht auf eingebettete Links klicken dürfen , es sei denn, sie sind sich absolut sicher, dass die Quelle legitim ist.

Wichig ist auch eine gute Backup-Strategie mit einer 3-2-1 Backup Policy, das heißt mindestens drei Datenkopien erstellen, wobei zwei davon in verschiedenen Speichertypen (intern und Wechselmedium) sowie ein Kopie außerhalb des Unternehmens.

Trend Micro-Lösungen

Folgende Lösungen von Trend Micro unterstützen Unternehmen dabei, das Risiko durch Ransomware-Bedrohungen zu minimieren:

Es reicht nicht aus, zu reagieren, wenn ein solcher Sicherheitsvorfall passiert. Es bedarf einer strategischen Planung und eines proaktiven, mehrschichtigen Ansatzes für das Gateway, Endpoints, Netzwerke und Server.

Trend Micro OfficeScan™ mit XGen™-Endpoint-Sicherheit kombiniert Machine Learning und Verhaltensanalysen mit traditionellen Ansätzen, um Ransomware zu identifizieren und zu blocken. Trend Micro hat diese Technologien auf diese Art von Schadsoftware getestet, und sie haben sich als effiziente, proaktive Lösung bewährt.

Trend MicroCloud App Security liefert fortschrittlichen Schutz vor Malware für Dropbox Business-Konten. Die Lösung prüft neben der statischen Pattern-Zuordnung das Verhalten verdächtiger Dateien in einer virtuellen Sandbox. Sie nutzt dafür die bewährte Trend Micro™ Deep Discovery™-Sandbox-Technologie, die von NSS Labs als „Most Effective Recommended Breach Detection System“ empfohlen wird.

Endpoint-Lösungen wie Trend Micro Smart Protection Suites und Trend Micro Worry-Free Services Advanced schützen Anwender vor diesen Bedrohungen, denn sie erkennen bösartige Dateien sowie Spam-Nachrichten und blocken auch alle damit in Zusammenhang stehenden URLs.

Die folgenden SHA256 Hashes were involved in this attack:

  • 0d27f890c38435824f64937aef1f81452cb951c8f90d6005cc7c46cb158e255f (Detected by Trend Micro as JS_NEMUCOD.THCOF)
  • 1a06e44df2fcf39471b7604695f0fc81174874219d4226d27ef4453ae3c9614b (Detected by Trend Micro as Ransom_CRYPTLOCK.DLFLVV)
  • aa4a0dde592488e88143028acdb8f035eb0453f265efeeebba316a6afe3e2b73 (Detected by Trend Micro as Ransom_CRYPTLOCK.DLFLVV)
  • 5149f7d17d9ca687c2e871dc32e968f1e80f2a112c574663c95cca073283fc27 (Detected by Trend Micro as Ransom_CRYPTLOCK.DLFLVW)
  • efcc468b3125fbc5a9b1d324edc25ee3676f068c3d2abf3bd845ebacc274a0ff (Detected by Trend Micro as Ransom_CRYPTLOCK.DLFLVU)
  • 287ebf60c34b4a18e23566dbfcf5ee982d3bace22d148b33a27d9d1fc8596692 (Detected by Trend Micro as Ransom_CRYPTLOCK.DLFLVU)
  • ddac25f45f70af5c3edbf22580291aebc26232b7cc4cc37b2b6e095baa946029 (Detected by Trend Micro as Ransom_CRYPTLOCK.DLFLVU)
  • 1ffb16211552af603a6d13114178df21d246351c09df9e4a7a62eb4824036bb6 (Detected by Trend Micro as Ransom_CRYPTLOCK.DLFLVS)
  • 1a9dc1cb2e972841aa6d7908ab31a96fb7d9256082b422dcef4e1b41bfcd5243 (Detected by Trend Micro as Ransom_CRYPTLOCK.DLFLVS)
  • 028b3b18ef56f02e73eb1bbc968c8cfaf2dd6504ac51c681013bcf8e6531b2fc (Detected by Trend Micro as Ransom_CRYPTLOCK.DLFLVS)
  • 98aad54148d12d6d9f6cab44974e3fe8e1175abc87ff5ab10cc8f3db095c3133 (Detected by Trend Micro as Ransom_CRYPTLOCK.DLFLVS)
  • f914b02c6de92d6bf32654c53b4907d8cde062efed4f53a8b1a7b73f7858cb11 (Detected by Trend Micro as Ransom_CRYPTLOCK.DLFLVS)

Zusätzliche Analysen von Anthony Megarejo

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*