Wie Ransomware funktioniert: Verteilungstaktiken

Originalbeitrag von Jon Oliver und Joseph C. Chen

Genauso wichtig wie Kenntnisse über die Techniken und Routinen von Ransomware ist das Verständnis darüber, wie die Erpressersoftware in eine IT-Umgebung kommt. Neueste Analysen von Trend Micros Sicherheitsforschern zeigen, dass sich die Mehrheit der Ransomware-Familien auf der Schicht stoppen lassen, die der Bedrohung ausgesetzt ist – Web und E-Mail. Tatsächlich hat Trend Micro von Januar bis Mai dieses Jahres mehr als 66 Millionen Ransomware-bezogenen Spam, bösartige URLs und andere Bedrohungen geblockt.

Immer mehr Cyberkriminelle haben Ransomware in ihrem Arsenal, weil es sehr lukrative Angriffe sind. Allein in den vergangenen sechs Monaten sind mehr als 50 neue Familien aufgetaucht – 2014 bis 2015 waren es insgesamt nur 49. Ein kritischer Aspekt, der in den letzten Jahren zum Erfolg von Ransomware beigetragen hat, ist die Erpressungstechnik. Sie baut in erster Linie auf die Angst der Opfer, den Zugriff auf die eigenen Systeme zu verlieren. Die Kriminellen haben ihre Techniken permanent weiterentwickelt, vom einfachen Sperren des Bildschirms über die Nutzung von gefälschten Warnungen der Polizei vor Gesetzesübertretungen bis hin zur tatsächlichen Datenmanipulation.

Ein guter Teil der Diskussion über Ransomware dreht sich um deren Dateikomponente. Die Hintermänner wählten bewährte Taktiken, nämlich E-Mail und Web. Trotz der Einfachheit der Mittel bleiben diese Taktiken dem Nutzer meist verborgen oder sind auf der Oberfläche nicht leicht zu sehen. Sie können auch die traditionellen Sicherheitslösungen umgehen.

Keine neuen Methoden in Spam-Nachrichten

Ransomware-bezogene Spam-Nachrichten enthalten typischerweise bösartige Anhänge, sei es in Form von Makros, JavaScript oder andere, die als Downloader für die tatsächliche Ransomware dienen. Beispielsweise hat CryptoLocker einen bösartigen Anhang (meist eine UPATRE-Variante), die ZeuS/ZBOT herunterlädt. Dieser Information Stealer lädt dann CryptoLocker auf das System und führt den Schädling aus.

Einige Crypto Ransomware-Familien fügten mit Makros eine weitere Schicht hinzu, eine alte Taktik, die wieder aufgenommen wurde, um Sandbox-Technik zu vermeiden. Der Nutzer muss nämlich per Hand die in das bösartige Dokument eingebetteten Makros aktivieren, damit die Infizierung des Systems funktioniert. Hier spielen Social Engineering-Köder und die menschliche Psyche eine entscheidende Rolle.

Die Locky Crypto-Ransomware ist das bekannteste Beispiel für den Einsatz von bösartigen Makro-Anhängen. Nachdem Locky Ende Mai verschwunden war, tauchte die Malware nun wieder auf.

Bild 1. Locky-bezogene Spam-Nachricht

Auch JavaScript-Anhänge wurden gefunden, die automatisch Ransomware-Varianten herunterladen, so etwa XORBAT, ZIPPY, TeslaCrypt 4.0 oder CryptoWall 3.0. Auch VBScript nutzten die Cyberkriminellen, um Locky und CERBER zu verteilen. Damit lässt sich die Malware nicht nur verschleiern sondern auch Scanner können vermieden werden.

Häufig genutzte Mail-Betreffs

Die Betreffs der Mails sind meist nicht ungewöhnlich: so etwa Rechnungen, Lieferinformationen oder Kontosperrungen. Zudem geben sie vor, aus rechtmäßigen Quellen zu stammen.


Bild 2. Beispiel einer Spam-Nachricht in Zusammenhang mit TorrentLocker

TorrentLocker, der Nutzer und Unternehmen in Australien und Europa im Visier hatte, stach mit seinen Spam-Kampagnen hervor. Er nutzte nicht die typischen Betreffs, sondern passte die Nachrichten an, und zwar bezüglich der vom angeblichen Absender genutzten Sprache. So gab es Spam-Nachrichten, die vorgaben, von der australischen Bundespolizei oder anderen lokalen Behörden zu kommen. Interessanterweise werden diese Spam-Mails nur an legitime Konten gesendet, um Antispam zu vermeiden.

Timing ist entscheidend

Angreifer planen den Zeitpunkt für den Versand der Spam-Mails an Unternehmen sehr effizient – und zwar während der Arbeitszeiten im jeweiligen Zielland. Auch vermeiden es die Cyberkriminellen, die Inboxen mit einem Schwall an Spam zu überfluten und verschicken relativ kleine Mengen zu unterschiedlichen Tageszeiten. Damit können herkömmliche Spam-Filter keine verdächtigen Aktivitäten notieren.

Weitere Antispam-Taktiken

Den Sicherheitsforschern fiel auf, dass die Angreifer keine Botnets mehr für den Versand ihres Spams nutzten und stattdessen auf kompromittierte Mail-Server setzten. Lösungen mit IP-/Webreputation und Schutzfunktionen vor Spear Phishing können Mail-Gateways sichern, indem sie diese Spam-Taktiken durch das Blockieren von allen bekannten bösartigen Absendern und Inhalten unwirksam machen. Damit erreicht er Spam die Inboxen der Nutzer gar nicht und kann folglich auch die Systeme nicht infizieren.

Verbreitung über das Web via kompromittierte Sites

Ransomware wird auch in bösartigen URLs und/oder kompromittierte Websites. Ebenso werden wenig überraschend rechtmäßige Web Server kompromittiert, sodass Nutzersysteme auf bösartige Websites weitergeleitet werden. Zum Beispiel hatten Angreifer letzten Dezember die Blogseite von The Independent kompromittiert, um TeslaCrypt 2.0 zu verteilen. Nutzer, die die Seite besuchten, wurden verschiedentlich umgeleitet, einschließlich auf eine Site, die das Angler Exploit Kit hostet. Waren die Systeme für diese bestimmte Lücke in Adobe Flash Player (CVE-2015-7645) ansprechbar, so kam es zu Infektionen mit Ransomware.

Auch missbrauchten die Betrüger rechtmäßige Services, um ihre bösartigen Dateien zu hosten. So missbrauchte etwa PETYA den Speicherdienst Dropbox.

Techniken gegen Web-Blocking

TorrentLocker nutzte CAPTCHA-Codes, um zu verhindern, dass Landing Pages geblockt oder Drive-by Download entdeckt wird. Eine andere Technik war die Implementierung von so genanntem „Short-time-to-live“ (TTL) bei DNS Records. Das heißt, die damit zusammenhängenden bösartigen Domänen sind nur eine kurze Zeit (etwa eine Stunde) gültig und zugreifbar Damit wird das Blockieren von Ransomware-bezogenen URLs erschwert.

Verbreitung über Exploit Kits

Einige Ransomware-Familien werden über Exploit Kits Malvertisments verteilt. Beim Besuch von solch infizierten Sites, können nicht gepatchte Systeme infiziert werden.

Die folgende Tabelle zeigt verschiedene Ransomware-Familien, die überExploit Kits verteilt werden:

Exploits Verteilte Ransomware (2015) Verteilte Ransomware (2016)
Angler Exploit Kit CryptoWall, TeslaCrypt, CryptoLocker CryptoWall, TeslaCrypt, CryptoLocker, CryptXXX
Neutrino Exploit Kit CryptoWall, TeslaCrypt CryptoWall, TeslaCrypt, Cerber, CryptXXX
Magnitude Exploit Kit CryptoWall CryptoWall, Cerber
Rig Exploit Kit CryptoWall, TeslaCrypt Ransom_GOOPIC
Nuclear Exploit Kit CryptoWall, TeslaCrypt, CTB-Locker, Troldesh TeslaCrypt, Locky
Sundown Exploit Kit CryptoShocker
Hunter Exploit Kit Locky
Fiesta Exploit Kit TeslaCrypt

In diesem Jahr wurde Angler Exploit Kit zur Verteilung von TeslaCrypt entdeckt. Weitere Details liefert der Originalbeitrag.

Administratoren, die ihre Systeme stets auf aktuellem Stand halten, können das Herunterladen von Bedrohungen über Exploit Kits und Malvertisments verhindern. Hier ist es entscheidend, gute Web Reputation einzusetzen und auch Funktionen wie Shielding von Sicherheitslücken, um bösartige URLs zu blocken.

Trend Micros Lösungen

Die beste Strategie der Netzwerkverteidigung gegen Ransomware setzt an den Endpunkten an. Es wird nämlich dann gefährlich, wenn die Bedrohungen ins Netzwerk gelangen und weitere Server oder sonstige Systeme infizieren. Eine herkömmliche AV-Lösung reicht hier lang nicht aus. Gefragt ist eine mehrschichtige Verteidigung.

Bild 3. Eine mehrschichtige Verteidigung gegen Ransomware

Trend Micro bietet Lösungen, die Ransomware auf Gateway- oder Exposure-Ebene stoppen können. Mithilfe des Deep Discovery™ Email Inspector können Ransomware-bezogene Emails und bösartige Anhänge erkannt und geblockt werden. Die anpassbare Sandbox erkennt auch Varianten, die Makros nutzen. IP- und Web-Reputation mindern das Risiko von Ransomware auf Mail- und Web-Ebene.

Trend Micros Smart Protection Suites kann über Verhaltens-Monitoring, Applikationskontrolle und Shielding von Sicherheitslücken die Ausführung von bösartigen Routinen verhindern Die Anti-Ransomware-Funktion erkennt und blockt die Ausführung der Malware.

Netzwerkschutz bietet Trend Micro Deep Discovery Inspector, der über die Sandbox und Scanning Ransomware erkennt und blockt. Auch jegliche laterale Bewegungen durch das Netzwerk können damit verhindert werden.

Trend Micro Deep Security™ verhindert, dass Ransomware die Unternehmensserver erreicht – unabhängig davon, ob sie physisch, virtuell oder in der Cloud stehen.

Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltensmonitoring oder Echtzeit-Webreputationsdienste, um gegen Ransomware zu erkennen und zu blocken.

Nutzer können auch die kostenlosen Tools wie Trend Micro Lock Screen Ransomware Tool nutzen, das Screen Locker Ransomware erkennt und entfernt. Das Trend Micro Crypto-Ransomware File Decryptor Tool wiederum kann bestimmte Varianten von Crypto-Ransomware entschlüsseln.

Zusätzliche Infos von Maydalene Salvador, Lala Manly, Michael Casayuran, Paul Pajares, Rhena Inocencio.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*