Exploit-Pack RIG Hand in Hand mit Erpresser-Software

Nach der erfolgreichen Zerschlagung eines Teils der Infrastruktur, die zur Verbreitung von CryptoLocker genutzt wurde, wird dieses gefährliche Verschlüsselungsprogramm höchstwahrscheinlich seine Position abtreten. Und es steht auch schon ein Nachfolger in den Startlöchern, denn auf dem Schwarzmarkt ist eine Alternative aufgetaucht.

Der neuste Kryptoblocker, der die Forscher hellhörig werden lässt und bereits für eine erhebliche Zahl von Infektionen verantwortlich zeichnet, heißt CryptoWall. Die Experten von Cisco teilen mit, dass sich dieser Schädling mit Hilfe des Exploit-Packs RIG verbreitet. Wie auch CryptoLocker verschlüsselt CryptoWall die Daten auf der Festplatte mti einem RSA-Schlüssel von 2048 Bit Länge und fordert eine Lösegeldzahlung innerhalb einer bestimmten Frist. Die Höhe des Lösegelds beträgt zwischen 300 und 600 Dollar. Zur Zahlung der Summe wird das Opfer aufgefordert, entweder über einen angegebenen Link auf eine bestimmte Seite zu gehen oder den Browser für Tor zu laden und manuell eine onion-Adresse einzugeben. Bei Nichtzahlung drohen die Erpresser mit der Zerstörung des Dechiffrierungsschlüssels, so dass die in Geiselhaft genommenen Dateien unwiederbringlich verloren sind.

„Diese Drohung sollte man durchaus ernst nehmen: Es ist ein Fall bekannt, in dem die Erpresser ihr Versprechen wahr gemacht haben“, warnt Levi Gundert, Senior Virenanalyst bei Cisco und Spezialist für Öffentlichkeitsarbeit. „Blocker-Programme haben ihre Effektivität als Erpresserwerkzeug bereits unter Beweis gestellt und Variationen über das Thema CryptoLocker werden vermutlich noch lange ihr Unwesen treiben.“

Cisco hat den RIG-Traffic erstmals Ende April blockiert, seinen Höhepunkt erreichte er im Mai. Dieses Exploit-Pack greift die Anwender über schädliche Werbung an, die sogar auf populären und legitimen Sites anzutreffen ist. Nach Angaben von Cisco werden 48% der RIG-Sammlung von Exploits zu Sicherheitslücken in Flash gestellt, 30% zu Schwachstellen im Microsoft-Plugin Silverlight, 13% zu Löchern in Java. Dabei steigt die Zahl der Silverlight-Exploits, während die der Java-Exploits beständig abnimmt. Eine vermehrte Ausnutzung von Lücken in Silverlight wird auch durch eine kürzlich erfolgte Exploit-Attacke auf die Kunden von Netflix bestätigt – ein amerikanischer Streaming-Provider. Netflix verwendet Silverlight als Komponente seines Services, dessen wachsende Popularität auch den Cyberkriminellen nicht verborgen bleiben konnte.

Jetzt, da CryptoWall ein funktionierendes Beispiel für eine Symbiose zwischen einem Blocker und einem Exploit-Pack geliefert hat, das Schwächen von Werbenetzen ausnutzt, sind durchaus Nachahmungstäter zu erwarten. Den Beobachtungen von Cisco zufolge stammt die Hälfte der Anfragen an die Landing-Pages von RIG vom Knoten ads1[.]solocpm[.]com, wobei 90 von ihnen von den Domains eines anderes Werbenetzes, adnxs[.]com, umgeleitet zu sein scheinen. Eine Analyse der Referrer-Felder in den Anfragen hat ergeben, dass die mit RIG in Verbindung stehende schädliche Werbung auf populären Websites platziert sein könnte, wie etwa altervista.org, apps.facebook.com und ebay.in.

Einige schädliche Websites laufen auf der Engine von WordPress, die allerdings nach Meinung von Cisco durch das Knacken von Passwörtern, und nicht über Sicherheitslücken kompromittiert wurden. „Wenn für die Unterbringung des Exploit-Packs legitime Websites verwendet werden, besteht keine Notwendigkeit, eine spezialisierte Domain-Infrastruktur zu entwickeln und zu pflegen“, erläutert Gundert. „Auch ein Teil der damit verbundenen Probleme wird verringert: die Registrierung neuer Domains, die Randomisierung der Namen, die Verwendung von zahlreichen E-Mail-Adressen und weitere Tricks, die die Spuren verwischen sollen.“

Die Verwaltung der Stadt Durham im US-Bundesstaat New Hampshire hat sich erfolgreich von CryptoWall befreit, der in die Computer der örtlichen Polizei eingedrungen war, nachdem einer der Officers einen Link in einer E-Mail aktiviert hatte. Zu diesem Zweck mussten allerdings alle Systeme deaktiviert und aus dem Notfall-Backup wiederhergestellt werden.

Der Verwaltungsleiter von Durham, Todd Selig, erklärte gegenüber Threatpost, dass sich die Frage nach der Lösegeldzahlung gar nicht erst gestellt habe. „Wir erstellen regelmäßig und jeden Tag Backups aller Systeme; die Kopien werden auf externen Datenträgern gespeichert, daher waren wir sicher, dass diese Reservekopie unversehrt ist“, erläuterte Selig. „Unter diesen Umständen das Lösegeld zu zahlen, erschien uns nicht zielführend. Wir wussten, dass wir das System wiederherstellen können. Es ging eigentlich nur um die Zeit, die wir auf die Isolierung des Virus‘, seine Ausrottung auf allen Polizeisystemen und die anschließende Wiederherstellung mit Hilfe des Backups verwenden mussten.“

Selig wies zudem darauf hin, dass die E-Mail, mit der alle Unannehmlichkeiten angefangen hatten, allem Anschein nach aus einer vertrauenswürdigen Quelle stammte: „Es ging dabei um eine Nachricht, die der Officer anscheinend erwartet hatte. Sie hatten sich irgendwo zum Angeln verabredet, und auf dem Rechner des Absenders hatte sich der Virus eingenistet.“. „Glücklicherweise haben wir bereits vorher dafür Sorge getragen, immer zuverlässige Backups parat zu haben“, ergänzt Selig. „Dieser Fall hat gezeigt, wie überaus sinnvoll eine solche Notfall-Kopie sein kann.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.