Unternehmen erpressen: TorrentLocker und CryptoWall ändern ihre Taktik

Originalbeitrag von Paul Pajares (Fraud Analyst) und Jon Oliver (Senior Architect)

Die Übeltäter hinter Ransomware haben es nicht mehr nur auf Endanwender abgesehen. Sie haben ihre Angriffe angepasst und erpressen kleine und mittelgroße Firmen (SMBs). Dieses Unternehmenssegment stellt wohl ein gutes Ziel für Erpressersoftware dar. Denn es ist weniger wahrscheinlich, dass kleine Firmen die gleichen ausgefeilten Lösungen haben wie Großunternehmen. Gleichzeitig verfügen die Eigentümer oftmals über die Mittel, das Lösegeld zu zahlen.

Zudem ist es wahrscheinlich, dass SMBs anders als Großunternehmen keine umfassenden Backup-Lösungen nutzen, was wiederum die Wahrscheinlichkeit erhöht, dass Lösegeld gezahlt wird. Man stelle sich eine Firma mit weniger als 50 Mitarbeitern vor. Man stelle sich weiter vor, dass ein leitender Mitarbeiter eine E-Mail mit einer Zahlungsaufforderung und einer harmlos aussehenden URL erhält. Er wird wohl darauf klicken und sich Ransomware einfangen. Unglücklicherweise sichert seine Firma keine Daten. Schon von daher wird er das Lösegeld wohl zahlen, um die Unternehmensdateien zu retten. Solche Zahlungen wiederum dürften die Cyberkriminellen ermuntern, künftig noch mehr Angriffe zu lancieren.

Wir haben diesen Trend im Fall von TorrentLocker und CryptoWall beobachtet. Dabei handelt es sich um zwei hartnäckige und häufig vorkommende Ransomware-Varianten.

Allein von Juni bis Juli 2015 konnten wir beobachten, dass die Mehrzahl der Anwender, die auf bösartige Links in E-Mails mit Bezug zu CryptoWall im SMB-Umfeld angesiedelt sind.

Abbildung 1: URL-Verteilung mit CryptoWall-Bezug

Taktiken zum Umgehen von Sicherheitsmechanismen

Als weiterer Beweis, dass sich der Fokus bei Ransomware ändert, können die Umgehungstechniken angesehen werden. Einige Varianten von TorrentLocker weisen Selbstzerstörungsfähigkeiten auf. IT-Mitarbeiter können dadurch keine Muster sammeln und auf dieser Basis Sicherheitsmechanismen implementieren, um das Netzwerk zu schützen. Auf den Landing Pages werden Captcha-Codes verwendet, so dass automatisierte Crawler und Sandboxen größere Schwierigkeiten damit haben, die Malware-Muster zu identifizieren. Die Ransomware-Hintermänner optimieren auch das Timing, um die Zahl der Opfer in den Unternehmen zu maximieren und gleichzeitig die Zeitspanne zu verkürzen, die Sicherheitsanbietern zur Verfügung steht, um darauf zu reagieren. Sie nutzen ferner Techniken, um Spam- und Web-Filter zu umgehen, etwa indem sie auf eine zusätzliche Schicht mit kompromittierten Websites zurückgreifen, um den Internetverkehr umzuleiten.

Bemerkenswert ist außerdem, dass TorrentLocker-Dateien in der Regel von Storagesites wie Yandex Disk und Cubby.com heruntergeladen werden und dadurch ihrer Entdeckung entgehen. Darüber hinaus haben wir die C&C-Server beobachtet. Die meisten davon werden in Russland gehostet, einige jedoch auch in Deutschland und Tschechien.

Unternehmensumgebungen schützen

TorrentLocker und CryptoWall stellen ein ernst zu nehmendes Risiko für die vertraulichen Daten von Unternehmen dar. Allerdings können SMBs ihre Netzwerke schützen, wenn sie wachsam agieren und sich solcher Sicherheitsrisiken bewusst sind. Einfache Verhaltensregeln wie das Verifizieren von E-Mails und das Prüfen der Reputation von Websites vor deren Besuch hilft schon ein gutes Stück weit. Empfehlenswert ist auch, dass Mitarbeiter standardmäßig Makros deaktivieren, um das Ausführen von CryptoWall zu verhindern. Zudem können wir gar nicht genug betonen, wie wichtig es ist, Dateien zu sichern. Eine weitere Maßnahme zum Netzwerkschutz stellt die Schulung und Sensibilisierung von Mitarbeitern zu Sicherheitsbedrohungen und den Social-Engineering-Taktiken, die diese anwenden, dar. Schließlich sollten kleine und mittlere Firmen eine Sicherheitslösung einsetzen, die für ihre Systeme und Netzwerke Schutz vor Bedrohungen wie Ransomware bietet, und zwar indem sie bösartige Dateien und Spam-Nachrichten aufspürt und damit zusammenhängende URLs blockt.

Mit Input von Christopher Talampas, Yi Lee, Maydelene Salvador, Adremel Redondo, Lala Manly, Jessa Golez und Maela Angeles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.