Ransomware: Spora verschlüsselt, schreibt Passwörter mit und erpresst

Von der weit verbreiteten Ransomware Spora gibt es einen neuen Ableger, der die Opfer nicht nur mit einem verschlüsselten Rechner erpresst, sondern auch alle mit der Tastatur eingegebenen Daten übermittelt. So haben die Erpresser ein zweites Druckmittel zur Hand und können theoretisch die gewonnenen Zugangsdaten auch gleich an Dritte verkaufen. Die neue Variante wurde von Sicherheitsforschern bei Deep Instinct entdeckt.

Damit scheint Spora das Verhalten der Malware Cerber nachzuahmen, die vor kurzem die Fähigkeit erlangte, Passwörter und Bitcoins zu stehlen. Spora nutzt für den Verschlüsselungsprozesses AES und die Windows Crypto API sowie die Windows Management Instrumentation (WMI), um auch temporäre Daten und die Sicherungskopien aller verschlüsselten Dateien zu löschen.

Ransomware Spora in einem Worddokument (Bild: Deep Instinct)

Die neueste Version hat nach Angaben der Sicherheitsfachleute die Fähigkeit, die Browser-History und die Anmeldeinformationen von Benutzern zu speichern und Tastatureingaben zu erfassen.

Ransomware Spora verlangt Ausführung (Bild: Deep Instinct)

Die neue Spora-Version ist nach Angaben von Deep Instinct mindestens seit dem 20. August 2017 aktiv. Verbreitet wird sie durch eine Phishing-Kampagne, bei der den Opfern ein Word-Dokument als vermeintliche Rechnung untergeschoben wird, bei der ein Teil unkenntlich gemacht wurde. Klickt der Nutzer den verschwommenen Teil an, wird er aufgefordert, eine Windows Script-Datei zu aktivieren, die es dem Dokument erlaubt, seine schädliche Nutzlast zu aktivieren. Nach Angaben der Sicherheitsforscher ist es das erste Mal, dass Spora in ein Dokument eingebettet wurde. Einmal ausgeführt, verhält sich die Ransomware dann ähnlich wie früheren Versionen von Spora.

„Da der Angriffsvektor von Spora auf einer Benutzerinteraktion beruht, spielt es eine wichtige Rolle, das Sicherheitsbewusstsein der Nutzer zu schärfen, um die Bedrohung zu stoppen. Die Grundregel lautet, Anhänge von E-Mails, die von fragwürdigen Quellen stammen, nicht zu öffnen und zu vermeiden, fremde Inhalte auszuführen“, sagte Guy Propper, Sicherheitsforscher bei Deep Instinct.

Ransomware weltweit auf dem Vormarsch

Der Sicherheitsanbieter Check Point hat eine Studie zu neuen Trends bei Cyber-Attacken (PDF) veröffentlicht. Die Zahl der Ransomware-Angriffe in Nord- und Südamerika, Europa, dem Nahen Osten und Afrika hat sich demnach in den ersten sechs Monaten des Jahres 2017 gegenüber dem Vorjahreszeitraum verdoppelt. Ein wesentlicher Grund dafür seine durchgesickerte Hacking-Tools staatlicher Behörden und Geheimdienste. Der Anteil von Ransomware an den drei größten Malware-Kategorien erhöhte sich zudem von 26 auf 48 Prozent.

Ransomware ist nicht nur ein Problem, das sich auf private Anwender beschränkt. Das ergab eine von Osterman Research im Juni 2017 im Auftrag von Malwarebytes durchgeführte Umfrage zu Ransomware und anderen Sicherheitsbedrohungen. Daran beteiligten sich 1054 Unternehmen in sechs Ländern, darunter 175 KMU in Deutschland. Die Ergebnisse fasst der Zweite jährliche Bericht über den Stand von Ransomware (PDF) zusammen, der separat für Deutschland, die USA, Großbritannien, Frankreich, Australien und Singapur erstellt wurde. In Deutschland wurden im Zeitraum von 12 Monaten 34 Prozent (weltweit 35 Prozent) der befragten KMU Opfer eines Ransomware-Angriffs.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

6 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

6 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

13 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago