[datensicherheit.de, 10.04.2016] Palo Alto Networks hat nach eigenen Angaben ein neues Tool identifiziert, das von der Ransomware-Familie „Locky“ verwendet wird, um nicht entdeckt zu werden und Endpunkte zu infizieren.

Für statische Analyse-Tools verborgen

Mithilfe des Bedrohungserkennungsdienstes „AutoFocus“ von Palo Alto Networks seien beim Korrelieren von globalen Daten leichte Veränderungen an „Locky“ festgestellt worden. Das neu entdeckte Tool zur Umgehung von Sicherheitskontrollen komme offensichtlich sogar bei weiteren Ransomware-Familien zum Einsatz.
Mehrere Malware-Samples seien Palo Alto Networks durch verschleierte API-Aufrufe aufgefallen, die Systemfunktionen manipuliert hätten. Diese Funktionalität bleibe den häufig verwendeten statischen Analyse-Tools verborgen.

Manipulationen an den API-Aufrufen

Die Manipulationen an den API-Aufrufen verhinderten die Klassifizierung anhand von Schlüsselnamen, wodurch die Wahrscheinlichkeit erhöht werde, die Malware nicht zu entdecken.
Dies scheine jedoch nur eine von mehreren Maßnahmen zu sein, um Sicherheitsanalysen in die Irre zu leiten. Bei der Begutachtung aktueller Samples habe sich gezeigt, dass die Importtabellen für die bei der Ausführung geladenen Bibliotheken sich deutlich unterschieden, was eine sinnvolle Erkennung von „Import-Hashing“ verhindere. Zudem scheine es, dass der Verursacher jede Menge sinnlose Anweisungen zu generieren versucht, um die Analyse zu erschweren.

Verschleierungstechnik laut Palo Alto Networks nachweisbar

Neben „Locky“ sei diese Technik auch bei Samples der Malware-Familien„TeslaCrypt“ und „Andromeda“ aufgetaucht.
Palo Alto Networks betont, dass diese Verschleierungstechnik durch dynamische Analyse in Kombination mit der statischen Analyse seines „WildFire“-Diensts nachgewiesen werden könne.

Weitere Informationen zum Thema:

paloalto NETWORKS, 08.04.2016
Ransomware: Locky, TeslaCrypt, Other Malware Families Use New Tool To Evade Detection

[datensicherheit.de, 12.03.2016] Die Verwaltung der unterfränkischen Stadt Dettelbach wurde Opfer eines Ransomware-Angriffs. In ihrer Hilflosigkeit beim Umgang mit dieser Sicherheitsbedrohung sah die Kommunalverwaltung keine andere Möglichkeit, als eine „Fachfirma“ mit der Bezahlung des Lösegelds zu beauftragen – entgegen der Empfehlung der Polizei und des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Attacken auf Daten von Bürgern besonders verheerend

Die sogenannte Ransomware infiziert wahllos Dateien des Opfers und verschlüsselte sie, so dass diese nicht mehr zu öffnen sind. Das Schlüsselpasswort zur Wiederherstellung erhält das Opfer nur durch die Zahlung eines Erpressungsgelds an die Angreifer. Im konkreten Fall sei genau dies in Form der Internetwährung Bitcoin getan worden. Experten raten aber davon ab, da es keine Sicherheiten für eine Freigabe der Dateien gibt und Kriminelle durch Zahlung in ihrer Handhabung unterstützt werden.
Bei der eingesetzten Malware habe es sich um Ransomware mit dem Namen „TeslaCrypt“ gehandelt, so Dirk Arendt, Leitender Beauftragter „Public Affairs & New Technologies“ bei Check Point Software Technologies GmbH. Bei einem ähnlichen Angriff hat eine Malware mit dem Namen „Locky“ kürzlich zeitweise 5.000 Rechner pro Stunde infiziert.
„TeslaCrypt“ sei bereits seit Anfang 2015 bekannt und werde von entsprechender Schutzsoftware erkannt. In Dettelbach hat es aber offensichtlich nur eine unzureichende Vorkehrung gegeben, so dass es zu dem erfolgreichen Angriff kommen konnte. Attacken auf die Daten von Bürgern seien besonders verheerend, da es das Vertrauen in staatliche Infrastruktur und den Zusammenhalt von Staat und Gesellschaft maßgeblich verschlechtern könne, warnt Arendt.

Anwender zunehmend überfordert

Die Schuld bei einzelnen Lokalverwaltungen zu suchen, wäre aber zu kurz gedacht. Die Gefahrenlandschaft habe sich grundlegend gewandelt. Früher habe eine Firewall oder ein Virenscanner gereicht, heute gehe es um umfassendere Sicherheitsarchitekturen.
Selbst das BSI argumentiert in seinem aktuellen Lagebericht zur IT-Sicherheit: „Der Schutz der IT-Systeme durch die Anwender kann mit den oft hoch entwickelten Werkzeugen zur Ausnutzung von Sicherheitslücken nicht immer Schritt halten.“ Besonders die Wandlungsfähigkeit und das rasche Wachstum von Malware seien eine Gefahr, sagt Arendt. Forschungsergebnisse zeigten, dass im Jahr 2014 41 Prozent aller Organisationen mindestens eine unbekannte Malware heruntergeladen hätten. Im Schnitt würden jede Stunde 106 infizierte Dateien herunterladen – 25 Prozent mehr als im Vorjahr.

Dirk Ahrendt, Check Point Software Technologies

Dirk Arendt: Der Bevölkerung das nötige Verantwortungsbewusstsein zeigen!

Klare Strategie auf Bundes- und Länderebene gefordert

„Die Bedrohung ist real und darf nicht mehr länger unterschätzt werden.“ Es braucht laut Arendt eine klare Strategie auf Bundes- und Länderebene, die einheitliche Sicherheitsstandards und entsprechende Richtlinien für öffentliche Einrichtungen definiert. Die Sicherheitsverantwortlichen in den Verwaltungen dürften bei der Umsetzung auf keinen Fall alleine gelassen werden. Es sei wichtig, der Bevölkerung das nötige Verantwortungsbewusstsein zu zeigen. Staatliche Institutionen hätten eine Vorbildfunktion und müssten persönliche Daten der Bürger unter allen Umständen vor Kriminellen beschützen.
Die Digitale Integration betreffe alle Teile der Bevölkerung. Es sollte zugeschnittene Programme für einzelne Gruppen geben, um die Thematik umfassender in alle Bevölkerungsgruppen zu tragen. Sicherheit und damit das Vertrauen seien ein Gemeingut, das den Einsatz, die Involvierung aller Akteure bedürfe. Nur so ließen sich Vorfälle wie in Unterfranken in Zukunft vermeiden, betont Arendt.

Weitere Informationen zum Thema:

golem.de, 04.03.2016
„Die verschlüsselte Stadt, die zahlte“

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2015

[datensicherheit.de, 06.08.2015] Kaspersky Lab warnt deutsche Nutzer vor dem Schädling Teslacrypt – einer Erpresser-Software (Ransomware), die es speziell auf Gamer auch in Deutschland abgesehen hat. Von allen seit Beginn des Jahres 2015 weltweit von Kaspersky Lab abgewehrten Teslacrypt-Attacken gingen 19,07 Prozent auf das Konto deutscher Kaspersky-Kunden [1]. Zudem weist der Cybersicherheitsexperte auf eine neue Entwicklung bei Teslacrypt hin: So gibt sich die Version 2.0 der unter Gamern berüchtigten Erpresser-Software im Internet als die bekanntere und gefürchtete Ransomware Cryptowall 3.0 aus.

Offenbar versprechen sich die hinter Teslacrypt steckenden Cyberkriminellen so ein höheres Bedrohungspotenzial: Mit Teslacrypt verschlüsselte Dateien ließen sich in der Vergangenheit mit Tricks wiederherstellen, ohne auf die Forderungen einzugehen, während Cryptowall nicht entschlüsselt werden konnte. Das Lösegeld für die Entschlüsselung beträgt 500 US-Dollar, also etwa 450 Euro. Es verdoppelt sich, wenn die Opfer nicht rechtzeitig reagieren.

„Teslacrypt wurde erstmals im Februar 2015 entdeckt. Von Beginn an standen Gamer im Fokus. Der Trojaner verschlüsselt vor allem diverse, für Spiele genutzte lokale Dateien, die jedoch nicht größer als 268 Megabyte sind“, sagt Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab. „Neben Spielständen werden auch Dateiarten verschlüsselt, die zur Ausführung des Spiels erforderlich sind. Solange der Schädling nicht hundertprozentig von einem System entfernt ist, helfen auch Neuinstallationen von Spielen nicht, da die betreffenden Dateien sofort wieder verschlüsselt werden.“

Weltweite Kaspersky-Top-10 der Teslacrypt-Attacken

Bei allen seit Beginn des Jahres 2015 von Kaspersky Lab auf seine Kunden abgewehrten Infizierungsversuche des Schädlings Teslacrypt (alle Varianten) vereinten deutsche Nutzer im Untersuchungszeitraum Januar bis Juli 2015 fast jede fünfte Attacke auf sich. Nur Gamer in Frankreich wurden im Untersuchungszeitraum weltweit häufiger attackiert.

Die weltweite Top-10 bezüglich der von Kaspersky Lab von Januar bis Juli 2015 verhinderten Teslacrypt-Attacken (alle Versionen) sieht wie folgt aus:

1. Frankreich: 27.26 Prozent
2. Deutschland: 19.07 Prozent
3. USA: 9.22 Prozent
4. Indien: 5.76 Prozent
5. Italien: 5.18 Prozent
6. Großbritannien: 4.44 Prozent
7. Spanien: 4.32 Prozent
8. China: 2.11 Prozent
9. Russland: 1,61 Prozent
10. Kanada: 1,53 Prozent

Funktionsweise von Teslacrypt

Teslacrypt erzeugt bei jeder Infektion eine neue Bitcoin-Adresse, über die dann die Lösegeldzahlung abgewickelt wird. Im Gegenzug wird dem Opfer anschließend der Schlüssel zur Entschlüsselung angeboten. Dabei verwendet Teslacrypt in der Version 2.0 zwei Arten von Schlüsseln: Die „Master-Schlüssel“ werden einmalig pro infiziertem System vergeben, während „Session-Schlüssel“ bei jedem Neustart des Schadprogramms neu generiert werden. Der für die Verschlüsselung der Dateien verwendete Schlüssel wird nicht auf der Festplatte gespeichert, was die Entschlüsselung deutlich erschwert. Die von Teslacrypt genutzten Command-and-Control-Server (C&C) liegen im Tor-Netzwerk.

Die Malware der Teslacrypt-Familie verbreitet sich über die Exploit-Kits Angler, Sweet Orange und Nuclear, welche auf legitime Webseiten durch Hacks platziert werden. Die Exploit Kits tragen oftmals eine Vielfalt von Schadcodes, welche Schwachstellen von Browsern oder Browser-Plugins ausnutzen, und so die Malware verbreiten.

Bild: Kaspersky Labs

Teslacrypt-Schadprogramme

„Teslacrypt will Nutzer, insbesondere Gamer, in erster Linie täuschen und einschüchtern. So gab bereits eine frühere Version vor, die Dateien seien mit dem Algorithmus RSA-2048 verschlüsselt worden, um deutlich zu machen, dass an der Lösegeld-Zahlung kein Weg vorbei führt. Tatsächlich wurde jedoch die symmetrische Verschlüsselung AES-256 verwendet. Die Angreifer finden wohl Gefallen an der gezielten Täuschung der Opfer“ , erklärt Christian Funk. „In der Version 2.0 gibt Teslacrypt vor, die Opfer seien von Cryptowall infiziert worden. In diesem Fall wäre eine Entschlüsselung nach derzeitigem Stand unmöglich. Alle Links führen aber zu einem Teslacrypt-Server, denn die Urheber von Teslacrypt wollen ihre Lösegelder natürlich nicht an die kriminelle Konkurrenz abführen.“

Schutzempfehlungen für Gamer

Kaspersky Lab rät, von allen wichtigen Dateien regelmäßig Backups anzufertigen und diese auf Speichermedien abzulegen, die ansonsten nicht mit dem System verbunden sind.

Nutzer sollten besonders Browser und deren Plugins sowie alle anderen Softwareprodukte immer aktuell halten und neue Versionen sofort installieren.

Sollte der Rechner trotzdem mit Schadsoftware konfrontiert werden, kann diese von einer installierten aktuellen Schutzlösung wie Kaspersky Internet Security – Multi-Device [2] erkannt und unschädlich gemacht werden.

Weitere Informationen zum Thema:

Viruslist.com
TeslaCrypt 2.0 im Gewand von CryptoWall

[1] Es wurden alle von Teslacrypt bestehende Varianten gezählt. Die Analyse von Kaspersky Lab basiert auf anonymen Daten, die aus dem cloudbasierten Kaspersky Security Network (KSN) gewonnen werden. Am KSN können Kaspersky-Kunden auf freiwilliger Basis teilnehmen. Die von Kaspersky Lab erhobenen Daten werden anonym und vertraulich behandelt. Es werden keine persönlichen Daten wie zum Beispiel Passwörter gesammelt. Über das KSN erhält Kaspersky Lab Informationen über Infizierungsversuche und Malware-Attacken. Die dabei gewonnenen Informationen helfen vor allem den Echtzeitschutz für Kaspersky-Kunden zu verbessern. Ausführliche Informationen über das KSN sind in einem Whitepaper aufgeführt, das unter http://www.kaspersky.com/images/KESB_Whitepaper_KSN_ENG_final.pdf abrufbar ist.

[2] www.kaspersky.com/de/multi-device-security-1