News

RIG immer besser, Neutrino tritt ab

In den letzten Monaten beobachten Experten eine Migration von Schadkampagnen, die Exploit-Packs nutzen, von Neutrino zu RIG. Der französische Forscher Kafeine wies zudem darauf hin, dass das Ziel solcher Attacken immer häufiger die Ansiedlung von Bank-Trojanern (ZeuS Panda, Gootkit, Betabot) auf den betroffenen Systemen ist, und nicht von Ransomware, wie es vorher der Fall war.

Kafeine unterstreicht überdies, dass die Betreiber von RIG nicht nur die Nische besetzen, die durch das Einstellen der Aktivität von Neutrino entstanden ist, nachdem diesem Exploit-Pack Ende August durch Cisco mit Hilfe von GoDaddy ein entscheidender Schlag versetzt worden war, sondern sie unternehmen vielmehr auch alle erdenklichen Anstrengungen, um ihre Position auf dem Markt der Exploit-Packs zu festigen. So hat eine Analyse gezeigt, dass RIG derzeit ein System zur Verteilung des Traffics, ein Traffic Distribution System (TDS) verwendet, das es ermöglicht, verschiedene Payloads in einem Strom zu vereinigen, wobei sie in Abhängigkeit vom Betriebssystem-Typ, vom Browser und dem geografischen Standort des Opfers variieren können, und das zudem die Arbeit mit dem Traffic-Anbieter erleichtert. Die Technologie TDS tauchte laut Kafeine zusammen mit Blackhole auf dem Markt für Exploit-Packs auf und verschwand zusammen mit Angler und Nuclear wieder.

Am neunten September verbreitete sich nach Angaben von Kafeine im Netzuntergrund eine Jabber-Nachricht des Neutrino-Anbieters: „we are closed. no new rents, no extends more“ („wir haben geschlossen. keine weiteren Vermietungen mehr, auch keine Verlängerungen.“). Mitte September entdeckte das Monitoring-System von Kafeine eine neue RIG-Version mit modifizierter Obfuskation der Landing-Pages, mit RC4-Verschlüsselung der Payload, Neutrino-artigem Verhalten und einem zusätzlichen Exploit – für die Schwachstelle CVE-2016-0189. RIG wurde zudem eine Weiße Liste von IP-Adressen hinzugefügt, für die der Aufruf seiner API erlaubt ist. Diese Maßnahme soll die Entdeckung und das Blockieren von Seiten mit Exploits verhindern.

Das Auftauchen der verbesserten RIG-Version (einer VIP-Version, wie Kafeine sie nennt) hat das weitere Schicksal von Neutrino endgültig besiegelt. Um den 22. September herum gab es im Cyberuntergrund nicht eine Anzeige oder ein Werbebanner mehr, das irgendwie mit diesem Exploit-Pack in Verbindung steht. Trotzdem registrierte Kafeine etwa zur selben Zeit ein stabiles Infektionsschema unter Verwendung von Neutrino; die dahinter stehenden Cyberverbrecher waren offensichtlich nicht gewillt, die gewohnten Services zugunsten von RIG zu opfern. Die entsprechende Malvertising-Kampagne lief in Südkorea und Taiwan ab, Ziel der Kampagne war die Verbreitung der Ransomware Cerber.

Nach Ansicht von Kafeine ist es durchaus möglich, dass Neutrino nun einfach in den privaten Bereich überführt wurde, so wie es sich derzeit auch bei dem Exploit-Kit Magnitude beobachten lässt, das in den asiatischen Ländern äußerst aktiv ist. Für diese Vermutung spricht auch die Aktivitätspause von Neutrino im Jahr 2014, als das Pack Kafeine zufolge im März von der Internet-Bühne verschwand und im Dezember erneut auf den Plan trat.

Auch bei Heimdal Security und im Internet Storm Center SANS wurde im September ein steiler Anstieg der RIG-Aktivität registriert. Insbesondere stellten die Forscher vom ISC SANS Ende vergangenen Monats fest, dass die Autoren einer von ihnen beobachteten Schadkampagne mit dem Namen Afraidgate von Neutrino auf RIG umgestiegen waren. Das Ziel des Exploits im Rahmen von Afraidgate ist derzeit die Ansiedlung der neusten Variante des Erpresser-Trojaners Locky, die die Experten vom ISC SANS Odin nennen (nach der neuen Erweiterung, die den verschlüsselten Dateien angehängt wird).

Quelle: Malware don’t need coffee

RIG immer besser, Neutrino tritt ab

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach