"O'zapft is!": Cyber-Kriminelle zapfen deutschsprachigen Ziele rechtzeitig zum Oktoberfest an Teil 2: Ransomware

Share with your network!

Im Teil 1 dieser Serie haben wir uns Banking-Trojaner angeschaut, die den deutschsprachigen Raum betreffen. Ransomware ist jedoch schnell zu einer Milliarden-Dollar-Branche angewachsen, nach einigen Schätzungen mit vielen Milliarden US-Dollar Nettoumsatz. Seit Kurzem ist Deutschland Ziel für eine der stärksten Ransomware-Varianten sowie für eine ungewöhnliche Variante, die in erster Linie auf Mittel- und Osteuropa beschränkt ist.

Wie bei Banking-Trojanern liegen die Verluste weit über den direkten Kosten einer Lösegeldzahlung oder der Säuberung von Infektionen. Früher in diesem Jahr wurden zum Beispiel mehrere Krankenhäuser in Deutschland gezwungen, Operationen zu verschieben und eine Vielzahl angeschlossener Geräte abzuschalten, als sie von Ransomware getroffen wurden.

Ransomware Petya

Obwohl sie nicht so bekannt ist wie ihre berühmten Ransomware-Vettern - seien es Locky, Cerber, CryptXXX oder Cryptowall -, hat die Ransomwarefamilie Petya in letzter Zeit mit dem Zielgebiet Mittel- und Osteuropa auf sich aufmerksam gemacht. In Deutschland wurde die Ransomware Petya bisher nur in halbherzigen Nachahmerattacken beobachtet, wie Abbildung 1 zeigt.

ransom-1.png

Abbildung 1: "Anwendungsportfolio" von [falsche Namen] mit Bild

Die Ransomware Petya verschlüsselt die Dateien nicht einzeln wie viele andere Ransomware-Varianten, die zur Zeit in Umlauf sind. Stattdessen verwendet sie einen speziell angepassten Bootloader und einen sehr kleinen Kernel, um die Master-Dateitabelle auf der Festplatte zu verschlüsseln. Petyas Schreibroutine überschreibt tatsächlich den Master Boot Record mit dem eigenen Kernel. Infizierte Systeme werden dann neu gestartet und die Benutzer bekommen Bildschirmseiten wie in den Abbildungen 2 und 3 dargestellt zu sehen.

ransom-2.png

Abbildung 2: Bildschirmanzeige während der Verschlüsselung

ransom-3.png

Abbildung 3: Petyas Meldung nach der Verschlüsselung

ransom-4.png

Abbildung 4: Bezahlportal von Petya

Locky

Seit Locky im Februar 2016 zuerst auftrat, gab es hauptsächlich großvolumige E-Mail-Kampagnen zur Verteilung der Ransomware Locky, die mit den Bedrohungsakteuren von Dridex in Zusammenhang gebracht werden. Im dritten Quartal 2016 machten die verteilten E-Mail-Nachrichten mehr als 95% der von Proofpoint überwachten weltweiten bösartigen E-Mail-Volumen aus. Der deutsche Sprachraum war von diesen Kampagnen nicht frei, wie wir am 21. September gesehen haben, als wir eine Kampagne auf Englisch und Deutsch beobachteten, die zu Lockys Tochter ID 3 verlocken sollte.

Die Nachrichten in dieser E-Mail-Kampagne kamen vorgeblich von

  • "Service@kids-party-world.de" mit dem Betreff "Ihre Bestellung ist auf dem Weg zu Ihnen! OrderID 654321" und hatten den Anhang "invoice_12345.zip" (beides mit zufälligen Ziffern)
  • "John.doe123@[Zufallsdomain]" (Zufallsname, 1-3-stellig) mit dem Betreff "E-TICKET 54321" (Zufallszahlen) und passendem Anhang "54321.zip"
  • "John.doe123@[Zufallsdomain]" (Zufallsname, 1-3-stellig) mit dem Betreff "Emailing: _12345_123456" (Zufallszahlen) und passendem Anhang "_12345_123456.zip "
  • "John.doe123@[Zufallsdomain]" (Zufallsname, 1-3-stellig) mit dem Betreff "Der Zahlungseingang" und Anhang "(# 1234567890) Receipt.zip" (Zufallszahlen)

Die Anlagen waren .zip-Archive mit JavaScript (in WSF oder HTA-Dateien), die, wenn sie ausgeführt werden, die Ransomware Locky herunterladen.

ransom-5.png

Abbildung 5: Neueste Version von Locky (als .odin verschlüsselte Dateierweiterung) mit Lösegeldbildschirm in deutscher Sprache für ein deutsches Opfer

ransom-6.png

Abbildung 6: Neueste Version von Locky (als .odin verschlüsselte Dateierweiterung) mit Lösegeldbildschirm in deutscher Sprache für ein deutsches Opfer

Zusammenfassung

Auch wenn Europa derzeit mit anhaltendem finanziellen Druck kämpft, erklären der relative Wohlstand und das gute Geschäftsklima der deutschsprachigen Regionen die jüngsten Steigerungen der Malware-Volumen und -Vielfalt insbesondere in Deutschland und in der Schweiz. Wir beobachteten E-Mail-Kampagnen mit der Verteilung von deutschen Nachrichten und Lockdokumenten zu mehreren Familien von Ransomware und Banking-Trojanern in diesen Regionen, einschließlich Varianten wie Petya, die anderswo selten sind, sowie personalisierte Kampagnen für Banking-Trojaner wie Ursnif und Dridex. Wir werden diese Aktivitäten auch weiterhin überwachen, um zu bestimmen, ob das gestiegene Interesse an deutschsprachigen Raum lediglich eine normale Angriffsvariation ist oder ein Zeichen für einen breiteren Trend.

Unabhängig von ihrer geografischen Lage können Firmen und Einzelpersonen verschiedene Maßnahmen ergreifen, um Infektionen und finanziellen Verlusten vorzubeugen:

  • Seien Sie wachsam, wenn Sie E-Mail-Nachrichten lesen, die Links oder Anhänge enthalten. Die meisten der hier beschriebenen Kampagnen stützten sich auf Social Engineering, um die Anwender dazu zu verleiten, sich mit Malware zu infizieren, obwohl ihre Systeme wahrscheinlich Sicherheitswarnungen angezeigt haben dürften, während oder bevor sie die schädlichen Dateien öffnen.
  • Aktivieren Sie niemals Makros in Dokumenten, die per E-Mail eingegangen sind und führen Sie niemals ausführbare Dateien aus, die mit einer E-Mail-Nachricht verlinkt sind, wenn Sie nicht absolut sicher sind, dass die Nachricht authentisch ist.
  • Führen Sie regelmäßige, häufige Backups durch, die wiederhergestellt werden können, statt ein Lösegeld zu zahlen, um verschlüsselte Daten wieder zu entsperren.
  • Firmen sollten auch in entsprechende Sicherheitstechnologien investieren, um ihre Mitarbeiter zu schützen, damit sie diesen Angriffen nicht zum Opfer fallen. Firmen sind besonders gefährdet, da deren Bankkonten in der Regel viel größere Mengen an Geld enthalten und daher ein Ziel mit höherer Priorität für Angreifer darstellen. Sie haben bei einem Ransomware-Angriff auch mehr zu verlieren. Größere Mitarbeiterzahlen erhöhen zudem die Chancen für eine erfolgreiche Infektion.