Aktuelles, Branche - geschrieben von dp am Mittwoch, Januar 30, 2019 21:53 - noch keine Kommentare
Spam-Welle: Neue Ransomware in deutschen Postfächern
Bösartige E-Mails mit „JavaScript“-Anhängen sollten sofort gelöscht werden
[datensicherheit.de, 30.01.2019] ESET warnt aktuell vor einer neuen Ransomware-Welle, die von Russland aus in Richtung Deutschland „übergeschwappt“ sei. Die Verbreitung der als „Shade“ oder „Troldesh“ bezeichneten Erpressersoftware erfolgt demnach per Spam-Mail.
Unternehmen ganz gezielt im Fokus der Angreifer
„Bereits von Oktober bis Mitte Dezember 2018 beobachteten wir eine Spam-Kampagne, die ,Shade‘ einsetzte. Seit Januar 2019 erleben wir wohl den Nachfolger“, berichtet Thomas Uhlemann, „Security Specialist“ bei ESET.
Neben Russland seien die Ukraine, Frankreich und nun auch Deutschland betroffen. Offensichtlich stünden Unternehmen ganz gezielt im Fokus der Angreifer:
„ESET-Telemetriedaten zeigen, dass die Angriffe exakt zu den Zeitpunkten pausieren, an denen Unternehmen ihre Arbeit reduzieren. Das war zum einen die Weihnachtszeit und zum anderen sind es die Wochenenden in der aktuellen Kampagne“, erläutert Uhlemann.
Erstmals im Jahr 2014 entdeckt
Die Spam-Mails seien nicht nur lästig, sondern hätten zudem die Ransomware namens „Shade“ (oder auch „Troldesh“) im Gepäck. Wer den „JavaScript“-Anhang unvorsichtigerweise anklickt, aktiviere ihn und lade sich ungewollt die Erpresser-Software auf den eigenen Rechner. Aktuell schwappe diese Welle von Russland aus in Richtung Deutschland.
Erstmals hätten Experten diese Verschlüsselungs-Malware im Jahr 2014 entdeckt, die seitdem immer wieder mal ab- und aufgetaucht sei. Die Ransomware sei imstande, eine Vielzahl an Dateitypen auf der Festplatte zu verschlüsseln. Die Opfer der Angriffe könnten dann nicht mehr auf ihre im Rechner gespeicherten Informationen zugreifen. Uhlemann: „Sie erhalten lediglich die von anderen Angriffen dieser Art bekannten Zahlungsanweisungen. Diese Aufforderungen sind in einer txt-Datei in Russisch und Englisch auf allen Laufwerken des betroffenen Computers abgelegt.“
Verbreitung per E-Mail sowie manipulierte „WordPress“-Seiten
In den Spam-Mails werde das „JavaScript“ als getarnter Anhang „Information“ versendet. „Einmal extrahiert, lädt das Script einen bösartigen Loader herunter, der von ESET-Produkten als ,Win32/Injector‘ erkannt wird. Das Perfide an der Methode ist die vermeintliche Quelle des sogenannten Loaders: Die Malware-Entwickler missbrauchen legitime ,WordPress‘-Webseiten als unfreiwillige Hosts“, warnt Uhlemann. Diese würden über massive Brute-Force-Angriffe von Bots gekapert und dienten dann als Speicher für mit Schadcode verseuchte Bilddateien.
ESET habe bereits Hunderte dieser Dateien im Internet entdeckt, die alle auf „ssj.jpg“ endeten. Um sich gegenüber dem Betriebssystem zu legitimieren, sei der Loader darüber hinaus mit einer vermeintlichen Signatur von Comodo versehen – dadurch werde seine Identifizierung im System erschwert.
Schadcode als Systemprozess getarnt
Um sich noch besser zu tarnen, gebe sich der Loader als legitimer Systemprozess „Client Server Runtime Process“ (csrss.exe) aus. Die Schadsoftware kopiere sich selbst in „C:\ProgramData\Windows\Windows\csrss.exe“, wobei „Windows“ hier ein versteckter, von der Malware selbst erstellter Ordner sei.
Dieser befinde sich normalerweise nicht im ProgramData-Verzeichnis. „Die Malware, die sich nun als Systemprozess ausgibt, verwendet Versionsdetails, die von einer legitimen ,Windows Server 2012‘-R2-Binärdatei kopiert wurden.“
Effektive Schutzmaßnahmen
Um nicht Opfer dieser neuen Ransomware-Welle zu werden, sollten Anwender immer die Authentizität von E-Mails prüfen, bevor sie Anhänge öffnen oder auf Links klicken. Für Gmail-Benutzer sei es nützlich zu wissen, dass Gmail „JavaScript“-Anhänge in empfangenen und gesendeten E-Mails bereits seit fast zwei Jahren blockiere.
Anwender könnten derartige Bedrohungen am besten durch einen zuverlässigen Malware-Schutz aussperren. Verschiedene Module, z.B. in ESET-Sicherheitsprodukten, würden unabhängig voneinander bösartige „JavaScript“-Dateien erkennen und blockieren.
Auch Betreiber von „WordPress“-Websites könnten einiges tun, um nicht von Cyber-Kriminellen für ihre Zwecke missbraucht zu werden. Neben dem Einsatz einer hochwertigen Sicherheitslösung sollte die Nutzung eines sicheren Passworts sowie einer Zwei-Faktor-Authentifizierung dazugehören. Außerdem sollten Website-Bbesitzer unbedingt sicherstellen, dass „WordPress“ selbst sowie „WordPress“-Plugins und -Designs regelmäßig aktualisiert werden.
Weitere Informationen zum Thema:
welivesecurity BY eset, Juraj Jánošík, 28.01.2019
Russland von neuer Ransomware-Welle getroffen / Der Januar 2019 verzeichnete einen dramatischen Anstieg schädlicher JavaScript-E-Mail-Anhänge…
datensicherheit.de, 27.01.2019
Ransomware-Angriffe: Warnung an Skilift- und Gondelbetreiber
datensicherheit.de, 23.01.2019
Anatova: Neue Ransomware-Familie entdeckt
datensicherheit.de, 11.12.2018
Sextortion: Erpressung und Ransomware-Angriff
datensicherheit.de, 10.12.2018
Dr. Shifro: Check Point deckt neues Ransomware-Geschäftsmodell auf
datensicherheit.de, 22.11.2018
Apple-Betriebssysteme: Ransomware-Angriffe steigen um 500 Prozent an
Aktuelles, Experten - Jan. 24, 2025 1:00 - noch keine Kommentare
Stargate: KI-Initiative in den USA setzt Europa unter Zugzwang
weitere Beiträge in Experten
- Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt
- Auskunftsrecht: EDSA hat Bericht zur koordinierten Prüfaktion CEF 2024 publiziert
- Bundestagswahl 2025: Politische Parteien dürfen Adressen zweckgebunden für Wahlwerbung nutzen
- Pseudonymisierung: Europäischer Datenschutzausschuss hat Leitlinien beschlossen
- Rat der Verbraucherzentrale zur ePA: Entweder aktive Pflege oder grundsätzlicher Widerspruch
Aktuelles, Branche, Studien - Jan. 23, 2025 0:48 - noch keine Kommentare
Cyber-Versicherungen: Neuer KnowBe4-Bericht zeigt dringenden Bedarf angesichts eskalierender digitaler Bedrohungen auf
weitere Beiträge in Branche
- Der Europäische Datenschutztag am 28. Januar soll Bürger sensibilisieren, die eigenen Daten besser zu schützen
- Gamer geraten ins Phishing-Fadenkreuz
- DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen
- NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber
- Warnung vor neuer Phishing-Angriffskampagne über Reisebüro-Konten
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren