Malwarebytes: Exploit-Kits verbreiten Ransomware GandCrab

Cyberkriminelle testen offenbar neue Möglichkeiten zur Verteilung von Ransomware. Am 26. Januar entdeckte Malwarebytes erstmals eine neue Erpressersoftware namens GandCrab, die eine eigentlich nur von Trojanern und Krypto-Minern benutzte Taktik einsetzt: die Verbreitung per Exploit Kit. GandCrab setzt zudem auf zwei Exploit Kits: RIG EK und GrandSoft EK.

Exploit Kits werden benutzt, um bekannte oder auch ungepatchte Schwachstellen in Computersystemen anzugreifen und darüber Schadsoftware auszuführen. Ransomware bringen die Erpresser indes in der Regel mithilfe von Spam-E-Mails unters Volk. Bisher war laut Malwarebytes nur die Ransomware Magniber bekannt, die von diesem Muster abweicht und per Exploit Kit in Umlauf gebracht wird.

Lösegeldforderung der Ransomware GandCrab (Screenshot: Malwarebytes)Das RIG Exploit Kit greift Schwachstellen in Internet Explorer und Flash Player an, um JavaScript, Flash und VB-Skripte auszuführen und Schadsoftware einzuschleusen. Der Schadcode kann sich in schädlichen Werbeanzeigen auf kompromittierten Websites verstecken und so per Drive-by-Download auf ein System gelangen.

GrandSoft wiederum trat erstmals im Jahr 2012 in Erscheinung und nutzt eine Anfälligkeit in der Java Runtime Environment aus. Sie erlaubt das Einschleusen und Ausführen von Schadcode aus der Ferne – in diesem Fall für die Verteilung von GandCrab. Eigentlich war angenommen worden, dass Grandsoft nicht mehr aktiv ist.

Unabhängig davon, wie GandCrab auf ein System gelangt, verhält sich die Ransomware wie jede andere Erpressersoftware. Sie verschlüsselt Windows-Dateien mit einem RSA-Algorithmus und verlangt ein Lösegeld für den „GandCrab Decryptor“, der die Dateien entsperren soll. In einem Punkt unterscheidet sich GandCrab jedoch von anderer Ransomware: Das Lösegeld soll nicht in Bitcoin, sondern in der weniger verbreiteten Kryptowährung Dash bezahlt werden.

Die Forderung von 1,5 Dash soll den Erpressern zufolge 1200 Dollar entsprechen – wie bei anderen Kryptowährungen fluktuiert jedoch auch der Wechselkurs für Dash. Laut Coingecko entsprechen 1,5 Dash derzeit rund 835 Euro oder 1040 Dollar. Wird das Lösegeld nicht kurzfristig bezahlt, verdoppelt es sich auf 3 Dash.

Ein kostenloses Entschlüsselungstool ist für GandCrab nicht verfügbar. Trotzdem sollten Betroffene kein Lösegeld bezahlen, um keinen finanziellen Anreiz für die Hintermänner zu schaffen. Darüber hinaus kann nicht garantiert werden, dass die Cyberkriminellen nach Zahlung des Lösegelds tatsächlich das Entschlüsselungstool zur Verfügung stellen. Nutzer können sich zudem gegen Angriffe per Exploit Kit schützen, indem sie verfügbare Updates für Betriebssystem, Browser und Laufzeitumgebungen wie Flash und Java stets zeitnah aktualisieren. Zudem sollte als Vorsichtsmaßnahme die Ausführung von Flash und Java im Browser deaktiviert werden.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.