Locky-Ransomware zurück an der Spitze
14. Oktober 2017Locky war seit November 2016 in dem von Check Point erstellten Ranking der „Most Wanted“ Malware-Arten nicht mehr unter den ersten zehn aufgetaucht, doch im September dieses Jahres wurde die Ransomware durch das Necurs-Botnet auf Platz zwei katapultiert. Diese Angriffe drückten Locky im Index um 25 Plätze nach oben, so dass es jetzt direkt hinter der Malvertising-Kampagne RoughTed liegt. Lockys Verbreitung begann im Februar 2016, und sie entwickelte sich schnell zu einer der bedeutendsten Malware-Familien der Welt. Sie verbreitet sich primär über Spam-E-Mails, die einen als Word- oder Zip-Anhang getarnten Downloader mit bösartigen Makros enthalten.
Aktivieren Nutzer diese Makros – üblicherweise über eine Social-Engineering-Anweisung – wird der Anhang heruntergeladen und die Malware installiert, welche die Nutzerdateien verschlüsselt. Eine Meldung weist den Nutzer an, den Tor-Browser herunterzuladen und eine Internetseite zu besuchen, die eine Bitcoin-Zahlung erfordert. Im Juni 2016 aktivierte das Necurs-Botnet eine aktualisierte Version von Locky, die neue Techniken zur Erkennungsvermeidung enthielt.
Das Wiederaufleben von Locky zeigt, dass sich Unternehmen, was Malware betrifft, niemals auf ihren Lorbeeren ausruhen können. Raffinierte Cyberkriminelle werden weiter nach Wegen suchen, vorhandene Tools zu optimieren, um sie wieder wirksam zu machen, während leistungsstarke Botnets alte Varianten zu neuem Leben erwecken und dafür sorgen, dass Nutzer in aller Welt schnellstmöglich angegriffen werden können. Die Tatsache, dass im September scheinbar mehr als eine von zehn Organisationen weltweit von einer einzigen Ransom-Familie kompromittiert wurde, macht deutlich, dass bekannte Malware genauso gefährlich sein kann wie brandneue Varianten.
Die Top 3 „Most Wanted” Malware-Arten im September 2017:
1. RoughTed – Großangelegte Malvertising-Kampagne, die zur Verbreitung verschiedener bösartiger Webseiten und Payloads, wie Scams, Adware, Exploit Kits und Ransomware, eingesetzt wird. Sie kann für Angriffe auf jegliche Art von Plattform und Betriebssystem verwendet werden und nutzt die Umgehung von Werbeblockern und Fingerprinting, um dafür zu sorgen, dass der wichtigste Angriff verbreitet wird.
2. Locky – Ransomware, deren Verbreitung im Februar 2016 begann, und die sich hauptsächlich über Spam-E-Mails verbreitet, die einen als Word- oder Zip-Anhang getarnten Downloader enthalten, welcher dann die Malware, die Nutzerdateien verschlüsselt, herunterlädt und installiert.
3. Globeimposter – Als eine Variante der Globe-Ransonmware getarnte Ransomware. Sie wurde im Mai 2017 entdeckt und wird durch Spam-Kampagnen, Malvertising und Exploit-Kits verbreitet. Bei der Verschlüsselung hängt die Ransomware an jede verschlüsselte Datei die Erweiterung .crypt an.
„Sollte noch irgendeine Organisation die Ernsthaftigkeit der Ransomware-Bedrohung anzweifeln, sollte diese Statistik sie zum Umdenken bewegen”, sagt Maya Horowitz, Threat Intelligence Group Manager bei Check Point. „Ransomware hat zwei der Top-Drei-Plätze belegt – eine davon ist eine relativ neue Variante, die in diesem Jahr erst aufkam. Die andere gehört zu einer älteren Familie, die gerade einen massiven Neustart erlebte. Es genügt, dass ein einziger Mitarbeiter von einem Social-Engineering-Trick hereingelegt wird und Organisationen können in eine hochgradig kompromittierende Lage gebracht werden.“ (rhh)