Von RAR zu JavaScript: Ransomware ändert häufig Typus der E-Mail-Anhänge

Originalbeitrag von Lala Manly, Maydalene Salvador und Ardin Maglalang

Es ist wichtig, Ransomware auf Gateway-Ebene zu stoppen, weil E-Mail mit 71 % der häufigste Eintrittspunkt für die bekannten Ransomware-Familien ist. Online-Erpresser bleiben bei dieser Methode, weil sie erprobt und erfolgreich ist, um potenzielle Opfer wie kleine und mittelständische Unternehmen zu erreichen. In der ersten Jahreshälfte nutzten Cyberkriminelle Dateitypen wie JavaScript, VBScript und Office-Dateien mit Makros, um traditionelle Sicherheitslösungen zu umgehen. Einige dieser Dateitypen können auch dazu genutzt werden, um Malware zu codieren. Microsoft deaktiviert aus diesem Grund standardmäßig die Makros.

Trend Micro hat bereits 80 Mio. Ransomware-Bedrohungen in diesem ersten Halbjahr entdeckt und geblockt. 58 % kamen über Mail-Anhänge. Auch ergab das Monitoring, dass die steigende Zahl bestimmter Dateitypen in Mail-Anhängen auf Locky zurückzuführen ist.

In den ersten zwei Monaten des Jahres war eine Spitze beim Gebrauch von .DOC-Dateien in Spam-Mails zu erkennen. Auch gab es Berichte darüber, dass DRIDEX, eine Online-Banking-Bedrohung, die für die Nutzung von Makros berüchtigt ist, Locky verteilte. Im März und April wurden vor allem .RAR-Anhänge genutzt, die auch Locky zugeschrieben werden.

Bild 1. Unternehmen sind der Gefahr von Ransomware-Angriffen ausgesetzt, weil sie häufig Produktivitätsanwendungen einsetzen, die Makros verwenden.

Im Juni und August scheinen die Locky-Hintermänner auf die Nutzung von JavaScript-Anhängen übergegangen zu sein. Diese Anhänge sind auch dafür bekannt, andere Ransomware-Familien herunterzuladen, so wie CryptoWall 3.0 und TeslaCrypt 4.0. Locky nutzt auch VBScript-Anhänge, wahrscheinlich weil der Schädling damit einfacher Scanner umgehen kann. Von Mitte Juli bis August nutzten die Locky-Kampagnen Windows Scripting File (WSF)-Anhänge – damit wurde WSF zum am zweithäufigsten eingesetzten Dateianhang.

Mit WSF können zwei verschiedene Scripting-Sprachen kombiniert werden. Dadurch wird es schwieriger, diese zu erkennen, weil es sich nicht um einen Dateitypus handelt, den Endpoint-Lösungen normalerweise überwachen und als bösartig kennzeichnen. Cerber etwa nutzte diese Taktik im Mai.

Bild 2. Der Anstieg von JS-Anhängen von Juni bis August wird Locky zugeschrieben

Die neuesten Angriffe von Locky verwendeten DLLs und .HTA-Dateianhänge für die Verbreitung. Vermutlich nutzen die Autoren .HTA-Dateien, weil sie Filter umgehen können, da sie nicht so häufig missbraucht werden.



Bild 3-4. Sample Mailnachricht mit .HTA-Anhang

Aufgrund der permanenten Wechsel in der Nutzung von Dateianhängen lässt sich vermuten, dass die Hintermänner von Locky weitere ausführbare Dateien nutzen werden wie.COM, .BIN und .CPL, um die Bedrohung zu verteilen.

Um Spam-Mails mit JS, VBScript, WSF- und HTA-Anhängen zu blocken, sollten Unternehmen Mail-Lösungen einsetzen, die verschiedene Antispam-Filter mit Techniken für Heuristik und Fingerprinting haben. Auch Blacklisting sollte möglich sein, um bekannte bösartige Sender-IPs zu blocken.

Um Makro-Downloader, wie sie Locky und Cerber einsetzen, erkennen zu können, sollte die Lösung eine Makro Scanning-Funktion haben.

Typische Mail-Betreffs

Ransomware macht sich nicht die Mühe, neue Betreffs zu finden, sondern nutzt die altbekannten. Diese zu kennen, ist ebenfalls hilfreich, um nicht zum Opfer zu werden. Einige davon sind die folgenden:

  • Documents requested (Dokumente erforderlich)
  • Audit Report
  • Budget Reports
  • Emailing: (Label | Picture | Image)
  • Message from “{RandomChar}”
  • We could not deliver your parcel, #{RandomChars}, Problems with item delivery, n(RandomChars), Unable to deliver your item, #{RandomChars} (Wir konnten Ihr Paket nicht ausliefern)
  • Payment receipt (Zahlung erhalten)
  • Order Confirmation {RandomChars} (Auftragsbestätigung)
  • Bill, Paid Bills (Rechung)



Bild 5. Beispiel einer Spam-Nachricht

Abwehr

Ein kritischer Aspekt eines Ransomware-Angriffs ist der Auslieferungsmechanismus. Gateway-Lösungen können hier helfen.

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltensmonitoring oder Echtzeit-Webreputationsdienste, um gegen Ransomware zu erkennen und zu blocken.

Privatanwender schließlich können sich über Trend Micro Security 10 schützen.

Nutzer können auch die kostenlosen Tools wie Trend Micro Lock Screen Ransomware Tool nutzen, das Screen Locker Ransomware erkennt und entfernt. Das Trend Micro Crypto-Ransomware File Decryptor Tool wiederum kann bestimmte Varianten von Crypto-Ransomware entschlüsseln.

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*