Variante der Locky-Ransomware rutscht Abwehrlösungen durchs Netz

Eine Variante der berüchtigten Locky-Ransomware ist Teil einer groß angelegten, E-Mail-basierten Kampagne, die durch die Abwehrmechanismen einiger nichtsahnenden Unternehmen hindurchflutscht.

Nach Angaben von Comodo Threat Intelligence Lab landete ab dem 9. August drei Tage in Folge ein Erpresserprogramm mit der Bezeichnung IKARUSdilapidated in zehntausenden elektronischen Posteingangsfächern, zusammen mit einer E-Mail, die nur sehr wenig bis gar keinen Inhalt hatte und eine schädliche Dropper-Datei in Form eines Anhangs enthielt.

“Bei dem Attachment handelt es sich um eine Archiv-Datei mit dem Namen ‘E 2017-08-09 (580).vbs’, wobei 580 eine (variable) Zahl ist, die sich in jeder E-Mail ändert und ‘vbs’ eine Erweiterung, die ebenfalls variiert”, hieß es bei Comodo. “Die Betreffs sind ähnlich – “E 2017-08-09 (580).tiff” -, wobei die Erweiterung ein Word-Dokument (doc), eine Archivdatei (zip), ein pdf oder eine Bilddatei (jpg, tiff) sein kann.”

Wenn der Anhang ausgeführt wird, lädt er die Ransomware IKARUSdilapidated herunter. Der Name der Ransomware ist abgeleitet von einer Textzeile aus dem Code der Schaddatei, die von dem Dropper heruntergeladen wird.

“Wenn der Nutzer das Dokument im Anhang öffnet, sieht er, dass sich nur Schrott darin befindet, einschließlich der Aufforderung ‘Makros aktivieren, wenn Datendecodierung inkorrekt ist’ — eine Social Engineering-Technik, die in dieser Art von Phishing-Attacken verwendet wird. Tut der User wie ihm geheißen, speichern und starten die Makros dann eine Binärdatei, die den eigentlichen Verschlüsselungstrojaner herunterlädt” heißt es nach einer vorläufigen Analyse von Comodo.

“Als neue Malware-Variante wird sie als ‘unbekannte Datei’ gelesen und ist ein erlaubter Eintrag bei Organisationen, die keine ‘Default-Deny’-Sicherheitsstrategie verfolgen (die alle Einträge von unbekannten Dateien verbietet, bevor sie nicht als ‘gute’ Dateien bestätigt und als geeignet anerkannt werden, der IT-Infrastruktur hinzugefügt zu werden)”, hieß es weiter bei Comodo.

Die Forscher sind der Meinung, dass IKARUSdilapidated eine Variante von Locky ist, da die Schadprogramme viele Charakteristika gemeinsam haben, wie z.B. verschlüsselte Dateinamen, die in eine einmalige Kombination von 16 Buchstaben und Zahlen konvertiert werden, plus der .locky-Dateierweiterung.

Der Erpresser-Mitteilung zufolge sind die Dateien mit “RSA-2048 und AES-128-Verschlüsselungen” chiffriert.

Locky ist bekannt für seine Effizienz und Profitabilität. Im Laufe der letzten zwei Jahre hat Locky gemäß einer neuen Studie von Google, Chainalysis, UC San Diego und der NYU Tandom School of Engineering mehr als 7,8 Millionen Dollar Lösegeld von seinen Opfern erpresst.

Nach der Infektion wird eine Nachricht auf dem Bildschirm des Opfers angezeigt, in der es angewiesen wird, den Tor-Browser herunterzuladen und eine Bezahl-Website zu besuchen, um dann eine Summe zwischen 0,5 und 1 Bitcoin (zwischen 600 und 1.200 Dollar) für die Entschlüsselung seiner Dateien hinzublättern.

Eine von Comodo durchgeführte Analyse eines Samples der 62.000 E-Mails, die mit der IKARUSdilapidated-Kampagne in Verbindung stehen, offenbarte, dass sich hier ein raffinierter Angreifer 11.625 verschiedene IP-Adressen zunutze macht, die über 133 verschiedene Länder verteilt sind, unter anderen Vietnam, Indien, Mexiko, die Türkei und Indonesien.

“Unser Team überprüfte die Inhaber der IPs und stellte fest, dass es sich bei den meisten um Telekommunikationsunternehmen und Internet Service Provider handelte. Das bedeutet, dass die IP Adressen zu infizierten, jetzt kompromittierten Computern gehören”, schrieben die Forscher in ihrem zur Veröffentlichung anstehenden Bericht über die Ransomware.

Die Forscher erklären, dass die Größe, der Umfang und die Qualität des Botnetzes hinter der Kampagne auf einen erfahrenen Angreifer schließen lassen. “Es zeigt auch, dass Raffinesse, Qualität der Organisation und Umfang neuer Ransomware-Attacken zunehmen und es verleiht dem Ruf, den Empfehlungen von Sicherheitsexperten überall nachzukommen, mehr Glaubwürdigkeit”, schrieben sie.

Innerhalb der letzten sechs Monate war Locky extrem aktiv. Im April nutzte der Schädling das Botnetz Necurs für den Versand einer massiven Salve von Phishing-Mails. In dieser speziellen Kampagne, die von Cisco Talos geortet wurde, wiesen die Forscher darauf hin, dass Locky effektive Techniken von der Passwort stehlenden Malware Dridex abkupfert, die sehr firm darin geworden ist, Sandboxes zu umgehen.

Im Februar deckte Microsofts Malware Protection Center eine schädliche E-Mail-Kampagne auf, die .lnk-Anhänge verwendete, um die Erpressersoftware Locky und den trojanischen Klickbetrüger Kovter in Umlauf zu bringen – den ersten Fall, in dem Kriminelle beide Schädlinge parallel verbreitet haben.

Source: Threatpost

Ähnliche Beiträge

Leave a Reply

Your email address will not be published. Required fields are marked *