News

CryptXXX-Update: Ransomware jetzt mit noch größerem Potential

Die Ransomware CryptXXX hat ein wichtiges Update erhalten, das dem Schädling in punkto Rentabilität die Führungsrolle vor seinen Konkurrenten beschert. Bisher galt Locky auf diesem Gebiet als erfolgreichstes kriminelles Projekt.

Die Forscher von Proofpoint berichten, dass die Version 3.100 von CryptXXX am 26. Mai herausgegeben wurde und der Schädling nun mit dem neuen Modul StillerX ausgestattet ist, das Zugangsdaten aus verschiedenen Anwendungen stiehlt, von Online-Kasino-Clients bis zu Account-Informationen für das Cisco VPN.

„Der Neuling sieht genauso aus wie CryptXXX“, erklärte Kevin Epstein, Vice President der Abteilung Threat Operations bei Proofpoint, im Laufe eines Interviews mit Threatpost.. – „Da TelsaCrypt jetzt im Abseits ist, scheint Locky nun einen Konkurrenten bekommen zu haben, der in der Lage ist, ihm bezüglich der Zahl der Infektionen und der Aggressivität der Ausbreitung den Rang abzulaufen.“

Nach Worten von Epstein ist die frühere Gruppierung für die Verbreitung des neuen CryptXXX verantwortlich, die schon seit langem erfolgreich mit dem Exploit-Pack Angler arbeitet. „Es ist zu erwarten, dass das Angriffsfeld von CryptXXX wesentlich breiter werden wird“, warnt der Experte. „Nach vorsichtigen Einschätzungen können sie 50.000 Infektionen mit CryptXXX innerhalb von 24 Stunden garantieren, und die Einnahmen der Erpresser liegen zwischen 100.000 und 200.000 Dollar pro Woche.

Bezüglich der Verbreitungsmethode unterscheidet sich CryptXXX von Locky: Letztgenannter wird häufig über Spam-Versendungen vom Botnetz Dridex in Umlauf gebracht. Die Betreiber von CryptXXX bevorzugen hingegen Redirects auf Seiten mit Exploits.

CryptXXX 3.100 sucht die Zieldateien nicht nur auf lokalen und externen Festplatten, sondern scannt auch den Gateway-Port 445 (wird für die Client-Server-Verbindungen in lokalen Netzen über das SMB-Protokoll verwendet), um „gemeinsame Ressourcen im Netz zu suchen, die Dateien in jedem gemeinsam benutzten Verzeichnis zu zählen und sie nacheinander zu verschlüsseln“, wie es in einem Blogeintrag auf der Website von Proofpoint heißt.

Mit der Version 3.100 wurde auch das Internetportal aktualisiert, das die Cyberkriminellen benutzen, um die Zahlungen zu steuern. Die Veränderungen betrafen im Wesentlichen das GUI-Interface und die Funktionen, die mit der Blockierung des Bildschirms zusammenhängen. „CryptXXX sticht durch ein hohes Tempo der Entwicklungszyklen hervor“, bestätigte Epstein.

Diese Ransomware erschien erstmals am 15. April auf den Radaren von Proofpoint. Ab diesem Zeitpunkt demonstrierte der Schädling eine stetige Zunahme der Population. Die Expansion wurde eingedämmt, nachdem Kaspersky Lab am 26. April seinem Tool RannohDecryptor einen Adress-Decodierer hinzugefügt hatte.

Gemäß der Beschreibung des Tools RannohDecryptor auf der Website des IT-Sicherheitsunternehmens funktioniert das Tool erfolgreich bei den ersten zwei Versionen von CryptXXX, die dritte erkennt es, doch es dechiffriert die Dateien nicht. Daraus folgt, dass es bisher im Fall von CryptXXX 3.100 noch keine Hilfe leisten kann.

Dieses Verschlüsselungsprogramm ist auch deshalb besonders gefährlich, weil es die Dateien nicht nur verschlüsselt, (und dabei die Erweiterung .crypt hinzufügt), sondern sie auch kopiert und damit das Risiko des Identitätsdiebstahls erhöht. Außerdem kann CryptXXX auch Bitcoins stehlen, die auf der lokalen Festplatte gespeichert sind.

Quelle: Threatpost

CryptXXX-Update: Ransomware jetzt mit noch größerem Potential

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach