Ransomware Locky kehrt mit zweistufiger Infektionstechnik zurück

Ciscos Sicherheitssparte Talos hat erneut Locky gesichtet – die das Jahr 2016 weitgehend dominierende Ransomware, die seit Ende letzten Jahres praktisch keine Rolle mehr spielte. Bei einer ersten großflächigen Kampagne seit Monaten gingen innerhalb weniger Stunden über 35.000 E-Mails ein, um Locky wieder zu verteilen. Als neu erwies sich dabei nicht die Schadsoftware selbst, sondern die eingesetzte Infektionsmethode.

Gegen Ende 2016 war Locky fast spurlos verschwunden und hatte anderen Ransomware-Konkurrenten Platz gemacht. Sicherheitsforscher führten das damalige Verschwinden Lockys von der Landkarte auf den gleichzeitig beobachteten Niedergang des Botnetzes Necurs zurück, das für die Verbreitung der Ransomware ebenso wie des Banking-Trojaners Dridex genutzt wurde. Was die Verteilung und Marktanteile von Schadsoftware angeht, übernahm stattdessen die Windows-Ransomware Cerber den ersten Platz.

Die Wiederkehr Lockys scheint nun im Gleichschritt mit dem Wiedererstarken des Botnetzes Necurs zu erfolgen. Diesmal setzen die Angreifer jedoch auf eine kombinierte und bislang für das Dridex-Botnetz typische Infektionsmethode, um die Chance auf Kompromittierungen zu erhöhen. Die Sicherheitsexperten von PhishMe beschreiben eine auf den ersten Blick vertraute Taktik mit E-Mails, deren Betreff von einer Zahlung oder Quittung mit einer angehängten Zahl handelt. Angehängt ist aber nicht wie zuvor für Locky typisch ein Office-Dokument – da sich inzwischen vermutlich viele Nutzer der Gefahren von Office-Makros bewusst sind.

Als Anhang transportiert wird vielmehr eine PDF-Datei. Diese fragt nach dem Öffnen um die Erlaubnis nach, eine zweite Datei zu öffnen. Und dabei handelt es sich wieder um eine Word-Datei, die Makros für den Download des Locky-Codes einsetzen will. Es folgt die übliche Routine mit Verschlüsselung aller wichtigen Dateien auf dem Windows-Rechner des Opfers und der Forderung von Lösegeld für die Dechiffrierung. Der geforderte Betrag fällt dabei höher aus als zuvor, nämlich Bitcoin im Gegenwert von 1200 Dollar oder 1100 Euro.

Ein solcher Einsatz von PDF-Dateien mit erforderlicher Interaktion des Nutzers wurde kürzlich bei Dridex beobachtet und nun von Locky übernommen. Talos sieht es als effektive Technik, um Sandboxes zu überwinden, die keine Nutzerinteraktion erlauben. Damit erhöhe sich die Wahrscheinlichkeit, dass die Datei in der Mailbox des Endnutzers ankomme.

„Dies ist nur ein weiteres Beispiel für eine lange Evolutionslinie in der Verteilung von Malware durch E-Mail“, heißt es dazu in einem Blogeintrag. „Eine Zeitlang sind Systeme viel seltener mittels PDF kompromittiert worden, während Word-basierte Makros die führende Rolle spielten. In dieser Kampagne sind die Angreifer darauf gekommen, wie sie ein mit Makros befrachtetes Word-Dokument mittels PDF tarnen können, um Opfer rund um die Welt zu kompromittieren.“

[mit Material von Danny Palmer, ZDNet.com]