CryptXXX massenhaft über Exploits verbreitet

Die Welt der Ransomware ist schnelllebig und der Favorit von heute kann morgen schon fast in Vergessenheit geraten sein.

Ein klares Beispiel dafür ist Locky. Erst vor kurzem wurde dieser Erpresserschädling aggressiv in Umlauf gebracht und war in der Lage, die Arbeit von großen Kliniken zum Stillstand zu bringen, indem er dem Personal den Zugriff auf die Krankengeschichten der Patienten verwehrte und den Patienten die medizinische Versorgung. Der Höhepunkt der Aktivität von Locky fiel in den Februar und März, doch schon Ende April geriet dieser Schädling ins Abseits und musste die Führungsposition an ein anderes schädliches Verschlüsselungsprogramm abtreten, und zwar an CryptXXX.

Ende April veröffentlichten die Forscher von Palo Alto Networks Informationen über die neusten Cyberkampagnen, die auf die Verbreitung von CryptXXX durch das Exploit-Pack Angler abzielen. Initiator dieser Kampagne ist nach Angaben der Experten dieselbe Gruppe, die zwei Wochen vorher auch Locky in Umlauf gebrachte hatte, allerdings über ein anderes Exploit-Pack, und zwar Nuclear.

Laut Aussage des Experten Brad Duncan ist die CryptXXX-Kampagne, die von Palo Alto den Namen Afraidgate erhielt, weil die Gateways der Cybergangster in der Domain afraid[.]org untergebracht sind, bereits die zweite ihrer Art, wobei zusammen mit dem Verschlüsseler auch Pseudo-Darkleech ausgeliefert wird. Als Mittler zwischen beiden Kampagnen dient Angler, der Sicherheitslücken im Browser angreift, sowie der Downloader Bedep, der sowohl Ransomware als auch Klicker hoch lädt.

Der Einsatz von Angler trägt laut Duncan zu einer ausgedehnteren Verbreitung von CryptXXX bei, da dieses Exploit-Pack schneller aktualisiert wird als seine Konkurrenten. Bemerkenswert ist auch die Beteiligung von Bedep, einem dateilosen Downloader, der keine Spuren auf der Festplatte hinterlässt. „Das letzte Bedep-Update hat die Analyse dieses Schädlings mit Hilfe einer virtuellen Maschine erschwert“, schreibt Duncan im Palo Alto-Blog. „Bedep ändert sein Verhalten, sobald er eine VM entdeckt. Er verzichtet dann auf den Download von CryptXXX, und der nach einer Infektion zu beobachtende Klickbetrug-Traffic unterscheidet sich von dem, der gewöhnlich von einem normalen physischen Host stammt.“

Wir möchten daran erinnern, dass Kaspersky Lab Ende April einen Decodierer zum kostenlosen Entschlüsseln von Dateien, die zuvor CryptXXX in die Fänge geraten waren, veröffentlicht hat.

Die Bedrohung Pseudo-Darkleech wurde im vergangenen März im Blog von Sucuri genauer unter die Lupe genommen: Dieser Schädling dringt nicht nur auf WordPress-Sites ein, sondern auch in Microsoft IIS-Server. Die Attacken mit seiner Beteiligung haben sich sehr schnell weiterentwickelt, und Ende letzten Jahres wurden diese Infektionen unter Mithilfe von Angler umgesetzt.

Locky ist zwischenzeitlich auch nicht ganz verschwunden, er wird noch immer über Word-Dokumente mit schädlichem Makro in Umlauf gebracht. Die dazugehörigen Spam-Mails der Cyberbetrüger kommen normalerweise als Benachrichtigungen über nicht bezahlte Rechnungen oder als Versandbestätigungen daher.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.