Aktuelles, Branche - geschrieben von dp am Mittwoch, Januar 30, 2019 21:53 - noch keine Kommentare
Spam-Welle: Neue Ransomware in deutschen Postfächern
Bösartige E-Mails mit „JavaScript“-Anhängen sollten sofort gelöscht werden
[datensicherheit.de, 30.01.2019] ESET warnt aktuell vor einer neuen Ransomware-Welle, die von Russland aus in Richtung Deutschland „übergeschwappt“ sei. Die Verbreitung der als „Shade“ oder „Troldesh“ bezeichneten Erpressersoftware erfolgt demnach per Spam-Mail.
Unternehmen ganz gezielt im Fokus der Angreifer
„Bereits von Oktober bis Mitte Dezember 2018 beobachteten wir eine Spam-Kampagne, die ,Shade‘ einsetzte. Seit Januar 2019 erleben wir wohl den Nachfolger“, berichtet Thomas Uhlemann, „Security Specialist“ bei ESET.
Neben Russland seien die Ukraine, Frankreich und nun auch Deutschland betroffen. Offensichtlich stünden Unternehmen ganz gezielt im Fokus der Angreifer:
„ESET-Telemetriedaten zeigen, dass die Angriffe exakt zu den Zeitpunkten pausieren, an denen Unternehmen ihre Arbeit reduzieren. Das war zum einen die Weihnachtszeit und zum anderen sind es die Wochenenden in der aktuellen Kampagne“, erläutert Uhlemann.
Erstmals im Jahr 2014 entdeckt
Die Spam-Mails seien nicht nur lästig, sondern hätten zudem die Ransomware namens „Shade“ (oder auch „Troldesh“) im Gepäck. Wer den „JavaScript“-Anhang unvorsichtigerweise anklickt, aktiviere ihn und lade sich ungewollt die Erpresser-Software auf den eigenen Rechner. Aktuell schwappe diese Welle von Russland aus in Richtung Deutschland.
Erstmals hätten Experten diese Verschlüsselungs-Malware im Jahr 2014 entdeckt, die seitdem immer wieder mal ab- und aufgetaucht sei. Die Ransomware sei imstande, eine Vielzahl an Dateitypen auf der Festplatte zu verschlüsseln. Die Opfer der Angriffe könnten dann nicht mehr auf ihre im Rechner gespeicherten Informationen zugreifen. Uhlemann: „Sie erhalten lediglich die von anderen Angriffen dieser Art bekannten Zahlungsanweisungen. Diese Aufforderungen sind in einer txt-Datei in Russisch und Englisch auf allen Laufwerken des betroffenen Computers abgelegt.“
Verbreitung per E-Mail sowie manipulierte „WordPress“-Seiten
In den Spam-Mails werde das „JavaScript“ als getarnter Anhang „Information“ versendet. „Einmal extrahiert, lädt das Script einen bösartigen Loader herunter, der von ESET-Produkten als ,Win32/Injector‘ erkannt wird. Das Perfide an der Methode ist die vermeintliche Quelle des sogenannten Loaders: Die Malware-Entwickler missbrauchen legitime ,WordPress‘-Webseiten als unfreiwillige Hosts“, warnt Uhlemann. Diese würden über massive Brute-Force-Angriffe von Bots gekapert und dienten dann als Speicher für mit Schadcode verseuchte Bilddateien.
ESET habe bereits Hunderte dieser Dateien im Internet entdeckt, die alle auf „ssj.jpg“ endeten. Um sich gegenüber dem Betriebssystem zu legitimieren, sei der Loader darüber hinaus mit einer vermeintlichen Signatur von Comodo versehen – dadurch werde seine Identifizierung im System erschwert.
Schadcode als Systemprozess getarnt
Um sich noch besser zu tarnen, gebe sich der Loader als legitimer Systemprozess „Client Server Runtime Process“ (csrss.exe) aus. Die Schadsoftware kopiere sich selbst in „C:\ProgramData\Windows\Windows\csrss.exe“, wobei „Windows“ hier ein versteckter, von der Malware selbst erstellter Ordner sei.
Dieser befinde sich normalerweise nicht im ProgramData-Verzeichnis. „Die Malware, die sich nun als Systemprozess ausgibt, verwendet Versionsdetails, die von einer legitimen ,Windows Server 2012‘-R2-Binärdatei kopiert wurden.“
Effektive Schutzmaßnahmen
Um nicht Opfer dieser neuen Ransomware-Welle zu werden, sollten Anwender immer die Authentizität von E-Mails prüfen, bevor sie Anhänge öffnen oder auf Links klicken. Für Gmail-Benutzer sei es nützlich zu wissen, dass Gmail „JavaScript“-Anhänge in empfangenen und gesendeten E-Mails bereits seit fast zwei Jahren blockiere.
Anwender könnten derartige Bedrohungen am besten durch einen zuverlässigen Malware-Schutz aussperren. Verschiedene Module, z.B. in ESET-Sicherheitsprodukten, würden unabhängig voneinander bösartige „JavaScript“-Dateien erkennen und blockieren.
Auch Betreiber von „WordPress“-Websites könnten einiges tun, um nicht von Cyber-Kriminellen für ihre Zwecke missbraucht zu werden. Neben dem Einsatz einer hochwertigen Sicherheitslösung sollte die Nutzung eines sicheren Passworts sowie einer Zwei-Faktor-Authentifizierung dazugehören. Außerdem sollten Website-Bbesitzer unbedingt sicherstellen, dass „WordPress“ selbst sowie „WordPress“-Plugins und -Designs regelmäßig aktualisiert werden.
Weitere Informationen zum Thema:
welivesecurity BY eset, Juraj Jánošík, 28.01.2019
Russland von neuer Ransomware-Welle getroffen / Der Januar 2019 verzeichnete einen dramatischen Anstieg schädlicher JavaScript-E-Mail-Anhänge…
datensicherheit.de, 27.01.2019
Ransomware-Angriffe: Warnung an Skilift- und Gondelbetreiber
datensicherheit.de, 23.01.2019
Anatova: Neue Ransomware-Familie entdeckt
datensicherheit.de, 11.12.2018
Sextortion: Erpressung und Ransomware-Angriff
datensicherheit.de, 10.12.2018
Dr. Shifro: Check Point deckt neues Ransomware-Geschäftsmodell auf
datensicherheit.de, 22.11.2018
Apple-Betriebssysteme: Ransomware-Angriffe steigen um 500 Prozent an
Aktuelles, Experten - Nov 12, 2024 12:21 - noch keine Kommentare
Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
weitere Beiträge in Experten
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
- KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf
- eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz
- US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position
- Neue Grundsatzentscheidung zwingt Notare zur Ermittlung von Daten für das Nachlassverzeichnis
Aktuelles, Branche - Nov 13, 2024 12:21 - noch keine Kommentare
Black Friday: Hochsaison für Schnäppchenjagd – und raffinierte Phishing-Angriffe
weitere Beiträge in Branche
- Erkenntnis aus BSI-Bericht 2024: Zahl der Cyber-Vorfälle in Deutschland erneut zugenommen
- Ymir: Kaspersky warnt vor neuentdeckter Ransomware
- Fremd-Zugriff auf Standortdaten: Lauf-Apps können Gefahr für eigene Sicherheit bergen
- JFrog-Analyse zur Gefährdung Maschinellen Lernens: Kritische Schwachstellen in ML-Frameworks entdeckt
- Sophos X-Ops analysieren Cyber-Attacken per Quishing
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren