Ransomware Locky kehrt mit zweistufiger Infektionstechnik zurück

Ciscos Sicherheitssparte Talos hat erneut Locky gesichtet – die das Jahr 2016 weitgehend dominierende Ransomware, die seit Ende letzten Jahres praktisch keine Rolle mehr spielte. Bei einer ersten großflächigen Kampagne seit Monaten gingen innerhalb weniger Stunden über 35.000 E-Mails ein, um Locky wieder zu verteilen. Als neu erwies sich dabei nicht die Schadsoftware selbst, sondern die eingesetzte Infektionsmethode.

Gegen Ende 2016 war Locky fast spurlos verschwunden und hatte anderen Ransomware-Konkurrenten Platz gemacht. Sicherheitsforscher führten das damalige Verschwinden Lockys von der Landkarte auf den gleichzeitig beobachteten Niedergang des Botnetzes Necurs zurück, das für die Verbreitung der Ransomware ebenso wie des Banking-Trojaners Dridex genutzt wurde. Was die Verteilung und Marktanteile von Schadsoftware angeht, übernahm stattdessen die Windows-Ransomware Cerber den ersten Platz.

Die Wiederkehr Lockys scheint nun im Gleichschritt mit dem Wiedererstarken des Botnetzes Necurs zu erfolgen. Diesmal setzen die Angreifer jedoch auf eine kombinierte und bislang für das Dridex-Botnetz typische Infektionsmethode, um die Chance auf Kompromittierungen zu erhöhen. Die Sicherheitsexperten von PhishMe beschreiben eine auf den ersten Blick vertraute Taktik mit E-Mails, deren Betreff von einer Zahlung oder Quittung mit einer angehängten Zahl handelt. Angehängt ist aber nicht wie zuvor für Locky typisch ein Office-Dokument – da sich inzwischen vermutlich viele Nutzer der Gefahren von Office-Makros bewusst sind.

Als Anhang transportiert wird vielmehr eine PDF-Datei. Diese fragt nach dem Öffnen um die Erlaubnis nach, eine zweite Datei zu öffnen. Und dabei handelt es sich wieder um eine Word-Datei, die Makros für den Download des Locky-Codes einsetzen will. Es folgt die übliche Routine mit Verschlüsselung aller wichtigen Dateien auf dem Windows-Rechner des Opfers und der Forderung von Lösegeld für die Dechiffrierung. Der geforderte Betrag fällt dabei höher aus als zuvor, nämlich Bitcoin im Gegenwert von 1200 Dollar oder 1100 Euro.

Ein solcher Einsatz von PDF-Dateien mit erforderlicher Interaktion des Nutzers wurde kürzlich bei Dridex beobachtet und nun von Locky übernommen. Talos sieht es als effektive Technik, um Sandboxes zu überwinden, die keine Nutzerinteraktion erlauben. Damit erhöhe sich die Wahrscheinlichkeit, dass die Datei in der Mailbox des Endnutzers ankomme.

„Dies ist nur ein weiteres Beispiel für eine lange Evolutionslinie in der Verteilung von Malware durch E-Mail“, heißt es dazu in einem Blogeintrag. „Eine Zeitlang sind Systeme viel seltener mittels PDF kompromittiert worden, während Word-basierte Makros die führende Rolle spielten. In dieser Kampagne sind die Angreifer darauf gekommen, wie sie ein mit Makros befrachtetes Word-Dokument mittels PDF tarnen können, um Opfer rund um die Welt zu kompromittieren.“

[mit Material von Danny Palmer, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

11 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago