Hacker nutzen COVID-19-Pandemie zur Verbreitung datenlöschender Malware

Sicherheitsforscher haben mehrere Malware-Varianten entdeckt, die die COVID-19-Pandemie zu ihrer Verbreitung nutzen, um Daten auf PCs zu zerstören. Derzeit sind mindestens fünf solcher Kampagnen aktiv, die entweder massenhaft Dateien löschen oder den Master Boot Record (MBR) überschreiben.

Den Master Boot Record nimmt eine Schadsoftware ins Visier, die das MalwareHunterTeam in einem Bericht von Sonicwall beschreibt. Sie infiziert ein System in zwei Schritten: Zuerst erscheint eine Meldung, die auf ein Problem mit einem Update-Server verweist. Während ein Nutzer vergeblich versucht, diese Meldung wegzuklicken – die Malware deaktiviert im Hintergrund den Task Manager – wird unbemerkt vom Nutzer des MBR überschrieben.

Danach startet die Malware das System neu, wobei der neue MBR eingreift und den Nutzer in eine Pre-Boot-Umgebung leitet. „Ihr Computer wurde vernichtet“, heißt es dort lapidar. Abhilfe schaffen nun nur noch spezielle Tools, die in er Lage sind, den MBR wiederherzustellen oder neu aufzubauen.

Eine weitere Schadsoftware, die den MBR zerstört, nutzt diese Technik, um von ihrer eigentlichen Aufgabe abzulenken. Nach außen „tarnt“ sich die Malware als CoronaVirus Ransomware. Allerdings ist auch die Erpressersoftware nur Fassade. Tatsächlich haben es deren Hintermänner auf Anmeldedaten und Passwörter abgesehen. Wurde diese Aufgabe erledigt, startet das System neu, wobei wiederum ein neuer MBR eine Pre-Boot-Umgebung startet, die die gefälschte Lösegeldforderung anzeigt. Sie verhindert, dass Nutzer den Diebstahl ihrer Login-Daten erkennen und Gegenmaßnahmen ergreifen.

Entdeckt wurde diese Malware vom Sicherheitsforscher Vitali Kremez von Sentinel One. Zwei Wochen später meldete der deutsche Anbieter G Data eine Variante, die sich als Screenlocker tarnt und ebenfalls den MBR überschreibt.

Das MalwareHunterTeam fand zudem zwei schädliche Anwendungen, die Dateien auf PCs löschen – allerdings nicht sehr effizient. Die erste Variante ist demnach schon seit Februar im Umlauf, die zweite erst seit wenigen Tagen. Beide setzen offenbar auf zeitraubende und fehleranfällige Methoden zur Datenlöschung. MalwareHunterTeam betont jedoch, dass beide Schadanwendungen trotzdem in der Lage sind, Dateien unwiederbringlich zu zerstören, weswegen sie als gefährlich einzustufen seien.

Warum die Hintermänner auf Malware setzen, die keine finanziellen Ziele verfolgt, ist nicht bekannt. Allerdings sind solche rein destruktiven Schädlinge keine Seltenheit. Schon beim WannaCry-Ausbruch vor drei Jahren gab es zahllose Varianten, die Dateien verschlüsselten, ohne ein Lösegeld zu fordern.