RANSOMWARE – Erpressungs-Trojaner

Entwicklung einer neuen Pest

Bedrohungslage, Prävention & Reaktion

Ransomware ist zu einer der am meistverbreiteten und schädlichsten Bedrohungen für Internetbenutzer geworden. Es ist ein sehr rentables Verbrechen für Cyber-Gangster. Ransomware, auch Erpressungstrojaner, Kryptotrojaner oder Verschlüsselungstrojaner, sind Schadprogramme, mit deren Hilfe ein Eindringling eine Zugriffs- oder Nutzungsverhinderung der Daten sowie des gesamten Computersystems erwirkt. Dabei werden alle Daten auf Ihrem Computer verschlüsselt oder der Zugriff darauf wird verhindert.

Die Verbreitung von RANSOMWARE ist ein lukratives Geschäftsmodell.
Die Verbreitung von RANSOMWARE ist ein lukratives Geschäftsmodell.

Im Allgemeinen wird für die Entschlüsselung oder Freigabe ein «Lösegeld» gefordert. In der DACH-Region wütete erst vor kurzem der Krypto-Trojaner namens Nemucod und überzog den Globus mit TeslaCrypt- und Locky-Infektionen.

Diese Art von erpresserischer Schadsoftware weitet sich ständig aus und die aktuellen Versionen besitzen ein viel grösseres Schadenspotential, als die jeweils Vorgängerversionen. Jede neue Variante bringt somit neue und grössere Gefahren mit sich.

Die neueste Variante ist Cerber

Cerber kennt Mittel und Wege, um User Access Control (UAC) zu umgehen und sich privilegierte Zugriffrechte zu erschleichen. Zudem löscht Cerber Windows Schattenkopien, um Dateien und Wiederherstellung unmöglich zu machen sowie beeinflusst den Bootvorgang, um Rettungsversuche in jedem Fall ausschliessen zu können. Die Daten werden mit AES-256 und RSA Verschlüsselungsstandards chiffriert und können zurzeit nicht entschlüsselt werden (Stand Juli 16).

Kritisch ist die ungewöhnliche Anzahl von Unmodified-Windows-Operating-System Prozessen, die Cerber einsetzt. Diese werden von vielen Sicherheitslösungen als nicht schädlich erkannt und sind an sich legitim. Cerber folgt dem Prinzip: «Malware-as-a-Service».

Wie erfolgt die Infektion?

Infektionsvektoren von Ransomware für Desktop-Systeme sind aktuell hauptsächlich E-Mail-Anhänge, Phishing (Tarnung durch Social Engineering), Drive-By-Angriffe mittels Exploit-Kits, das heisst, beim Surfen auf Webseiten oder auch in ungeschützten Fernwartungszugängen zu finden sowie in Peer2Peer Netzwerken. Bei E-Mail handelt es sich meist um SPAM, jedoch ist auch neuerdings auch davon auszugehen, dass bekannte, vertraute E-Mails ebenfalls verseucht sein können, indem die bekannte E-Mail Teil eines BOT-Netzes ist und / oder als SPAM Schleuder missbraucht wird. Es gilt das Prinzip des Schneeballsystems.

Meist wird der Anhang vom Antivirenscanner nicht erkannt, weil entweder die Signaturen veraltet sind, die Kompetenzen des Scanners nicht ausreicht oder die Anti-virensoftware gänzlich umgangen oder gar abgeschaltet wird. Die Malware erzeugt meist keine Dateien, lädt jedoch oft welche nach und startet ausschliesslich im Arbeitsspeicher und nutzt bekannte Schwachstellen in Adobe Produkten sowie auch im Windows Kernel aus. Selbst moderne Abwehrmechanismen, wie der Sandbox-Technologie oder der Verhaltensanalyse haben es schwer, diese Art von Angriffen zu erkennen und zu verhindern.

Einige Ransomware-Varianten versuchen, konsequent alle Daten zu vernichten, aus denen der Anwender ohne Bezahlen des Lösegeldes seinen PC wiederherstellen könnte.

Deutlich zu erkennen, TeslyCrypt und Cerber sind fast gleichauf.
Deutlich zu erkennen, TeslyCrypt und Cerber sind fast gleichauf.

Weg der Infektion über E-Mail und oder Phishing

Bei Angriffen mittels Spam wird versucht, über meist professionelles Social Engineering den Benutzer zum Öffnen von E-Mail-Anhängen zu bewegen oder auf einen Link zu klicken, hinter der eine verseuchte Webseite steckt. So werden angebliche Rechnungen, Bewerbungen, Bestellbestätigungen, Paketempfangsbestätigungen, eingescannte Dokumente, empfangene Faxe, teilweise unter Verwendung von echten Firmennamen und -adressen und zum Teil in perfekter Nach-
ahmung tatsächlicher Firmen-E-Mails, versendet. Im Anhang befindet sich meist ein sog. Downloader, der die eigentliche Schadsoftware nachlädt. In den bisher am weitesten verbreiteten Cybercrime wurden Microsoft Office Dokumente mit stark verschleierten Makros (teilweise mit ungewöhnlichen Kodierungen wie HTML oder MIME) und JavaScript- sowie VirtualBasicScript-Dateien versendet. Oft werden die Dateien in einem Archiv (meist ZIP) ausgeliefert. Das heisst, bei öffnen der verseuchten Datei in Office Word zum Beispiel, wird der Schädling schlussendlich aktiviert.

Weg der Infektion über Webseiten

Über Schwachstellen auf Webservern gelingt es den Cyber-Gangstern ihre Schadsoftware so zu platzieren, dass, wenn sie eine Seite an surfen, sie sich mit der Schadsoftware infizieren. Dabei hilft ihnen ihr lokaler Antivirenscanner zu
95 Prozent nicht. In früheren Zeiten wurden Werbebanner dazu benutzt, die Schadsoftware zu verteilen, heute genügt es, wenn sie die Seite aufrufen, die kompromittiert wurde.

Weg der Infektion über ungeschützte Fernwartungszugänge

Cyber-Gangster scannen das Internet nach solchen Systemen, die Fernwartungszugänge ins Internet anbieten, wie zum Beispiel Microsoft Remote-Desktop. Dort führen Sie Brute-Force Angriffe auf das Passwort durch. Bei einem erfolgreichen Login installieren sie eine Ransomware-Malware.

State of the Art aus einer Hand

Lesen Sie in der nächsten Ausgabe, was genau Ransomware macht, welche Geräte betroffen sind und wie sie sich schützen können. Zusätzlich erwarten sie einige Whitepaper zum Thema.

Nehmen sie ausserdem Teil am Adele Firewall Crowdfunding. Unterstützen sie die Weiterentwicklung von Adele Firewall. Unterstützung finden sie hier: https://wemakeit.com/projects/adele-firewall

Internet: https://adele-firewall.ch

Logo_ITConsulting


IT-Consulting Ebikon I Markus Opfer-Rodrigues
Sagenhofstrasse 6 I 6030 Ebikon
Telefon 079 267 40 41 I E-Mail: support@it-consulting-ebikon.ch
Internet: https://IT-Consulting-Ebikon.ch I Ticket: https://helpdesk.it-consulting-ebikon.ch