TorrentLocker ist wieder aktiv

Originalartikel von Trend Micro

In der letzten Zeit gab es in mehreren Ländern einen Anstieg der Zahl der TorrentLocker-bezogenen Mails. Nachdem in der zweiten Maihälfte bis zum 10. Juni eine „Flaute“ zu beobachten war, kam diese Bedrohung danach zurück, wobei vor allem Großbritannien und die Türkei davon betroffen waren.

Ende 2014 waren vor allem die Nutzer in Italien von dieser Krypto-Ransomware bedroht, aber auch Australien sowie andere Länder gehörten zu den Favoriten des Schädlings. In Großbritannien geben die TorrentLocker-bezogenen Mails vor, von den Versorgungswerken oder Regierungsbehörden wie Home dem Justizministerium zu kommen. Sie leiten auch auf gefälschte Seiten derselben Institutionen um und fordern den Nutzer auf, ein Captcha einzugeben. Folgt er dieser Aufforderung, so wird TorrentLocker heruntergeladen. Damit versuchen die Angreifer, automatische Sandbox-Tests zu vermeiden.

Bild 1. Gefälschte British Gas Site

In anderen Ländern nutzen die Angreifer die Namen von Post- bzw. Kurierdienstleistern oder von Telekommunikationsfirmen.

Auch hat sich das Hosting der Dateien verändert: Wurden diese früher auf Storage Sites wie Sendspace, Mediafire und Copy.com vorgehalten, so ist es nun Yandex Disk. Cryptowall (eine weitere Cryptoransomware-Familie) wird nun vor allem über Google Drive heruntergeladen.

Die Tabelle zeigt die heruntergeladenen Dateinamen (im Juni):

Social Engineering Payload
British Gas, Home Office UK, Ministry of Justice case_14781.zip, info_5623.zip, notice.zip, info_61196.zip
Correo carta_certificada_140712.zip, carta_certificada_127845.zip, carta_certificada_748215.zip
DHL paket_95154.zip
Poctza informacje_przesylki.zip
Turkcell turkcell_fatura_192189779.zip
SDA Express Pacchetto_741596.zip, Pacchetto_241879.zip, Pacchetto_857560.zip, Pacchetto_278560.zip
ENEL Bolletta_856912.zip


Bild 2. Verteilung der von TorrentLocker anvisierten Nutzer

Etwa 800 kompromittierte Domänen wurden für das Hosting der Bilder in den Mails genutzt oder als Umleitungs-Sites in den Mails. Die gefälschten Sites selbst werden mittlerweile auf türkischen oder russischen Servern gehostet. Sie nutzen eine relativ geringe Zahl Command & Control-Server:

  • bareportex.org (185.42.15.152)
  • driblokan.net (87.98.164.173)
  • golemerix.com (212.76.130.69)
  • imkosan.net (185.86.76.80)
  • kergoned.net (178.32.72.224)
  • klixoprend.com (185.86.76.80)
  • krusperon.net (91.226.93.33)
  • loawelis.org (178.32.72.224)
  • projawor.net (87.98.164.173)

Einzelheiten zu den Angriffen gibt es hier.

Trend Micro-Lösungen werden permanent aktualisiert, um verschiedene Aspekte dieser Bedrohung zu erkennen. Custom Defense™-Lösungen können diese Art von Angriffen effizient blockieren, denn sie erkennen verdächtiges Verhalten. Die Lösungen erkennen mittlerweile Mails mit Inhalten, die denjenigen in den Angriffen ähneln, und blocken Nachrichten, die von IP-Adressen stammen, die mit diesen Kampagnen in Verbindung stehen.

Auch URLs von Spam-Nachrichten und Typo-Squatting-Domänen, die den verwendeten ähneln, wurden geblockt, um den Download von TorrentLocker zu verhindern. Dateien bezüglich dieser Bedrohung wurden als TROJ_CRYPLOCK.XXSM identifiziert. C&C-Server sind geblockt worden, um zu verhindern, dass Nutzerdateien verschlüsselt werden.

Auch empfehlen sich folgende Best Practices, um möglichen Schaden durch TorrentLocker zu vermeiden:

  • eine Backup-Strategie sollte vorhanden sein,
  • Nutzer vor Sites mit Captcha-Codes warnen – vor allem, wenn sie einem Link aus einer Mail folgen. Falls Zweifel bestehen, lieber die Organisation anrufen.
  • Informieren der Nutzer über Social Engineering-Tricks, die in der Region angewendet werden, so etwa die Nutzung von Namen bestimmter Kurierdienste, Stromrechnungen etc.

 Analysen und Daten von Paul Pajares (Fraud Analyst) und Jon Oliver (Senior Architect)

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*