Ransomware Locky kehrt mit zweistufiger Infektionstechnik zurück

Ciscos Sicherheitssparte Talos hat erneut Locky gesichtet – die das Jahr 2016 weitgehend dominierende Ransomware, die seit Ende letzten Jahres praktisch keine Rolle mehr spielte. Bei einer ersten großflächigen Kampagne seit Monaten gingen innerhalb weniger Stunden über 35.000 E-Mails ein, um Locky wieder zu verteilen. Als neu erwies sich dabei nicht die Schadsoftware selbst, sondern die eingesetzte Infektionsmethode.

Gegen Ende 2016 war Locky fast spurlos verschwunden und hatte anderen Ransomware-Konkurrenten Platz gemacht. Sicherheitsforscher führten das damalige Verschwinden Lockys von der Landkarte auf den gleichzeitig beobachteten Niedergang des Botnetzes Necurs zurück, das für die Verbreitung der Ransomware ebenso wie des Banking-Trojaners Dridex genutzt wurde. Was die Verteilung und Marktanteile von Schadsoftware angeht, übernahm stattdessen die Windows-Ransomware Cerber den ersten Platz.

Die Wiederkehr Lockys scheint nun im Gleichschritt mit dem Wiedererstarken des Botnetzes Necurs zu erfolgen. Diesmal setzen die Angreifer jedoch auf eine kombinierte und bislang für das Dridex-Botnetz typische Infektionsmethode, um die Chance auf Kompromittierungen zu erhöhen. Die Sicherheitsexperten von PhishMe beschreiben eine auf den ersten Blick vertraute Taktik mit E-Mails, deren Betreff von einer Zahlung oder Quittung mit einer angehängten Zahl handelt. Angehängt ist aber nicht wie zuvor für Locky typisch ein Office-Dokument – da sich inzwischen vermutlich viele Nutzer der Gefahren von Office-Makros bewusst sind.

Als Anhang transportiert wird vielmehr eine PDF-Datei. Diese fragt nach dem Öffnen um die Erlaubnis nach, eine zweite Datei zu öffnen. Und dabei handelt es sich wieder um eine Word-Datei, die Makros für den Download des Locky-Codes einsetzen will. Es folgt die übliche Routine mit Verschlüsselung aller wichtigen Dateien auf dem Windows-Rechner des Opfers und der Forderung von Lösegeld für die Dechiffrierung. Der geforderte Betrag fällt dabei höher aus als zuvor, nämlich Bitcoin im Gegenwert von 1200 Dollar oder 1100 Euro.

Ein solcher Einsatz von PDF-Dateien mit erforderlicher Interaktion des Nutzers wurde kürzlich bei Dridex beobachtet und nun von Locky übernommen. Talos sieht es als effektive Technik, um Sandboxes zu überwinden, die keine Nutzerinteraktion erlauben. Damit erhöhe sich die Wahrscheinlichkeit, dass die Datei in der Mailbox des Endnutzers ankomme.

„Dies ist nur ein weiteres Beispiel für eine lange Evolutionslinie in der Verteilung von Malware durch E-Mail“, heißt es dazu in einem Blogeintrag. „Eine Zeitlang sind Systeme viel seltener mittels PDF kompromittiert worden, während Word-basierte Makros die führende Rolle spielten. In dieser Kampagne sind die Angreifer darauf gekommen, wie sie ein mit Makros befrachtetes Word-Dokument mittels PDF tarnen können, um Opfer rund um die Welt zu kompromittieren.“

[mit Material von Danny Palmer, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

19 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

23 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

24 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago