Eine neue Ransomware-Familie, die sich selbst »Locky« nennt, nutzt die Technik ihres überaus effektiven Vorgängers Dridex, um die Anzahl der kompromittierten Ziele zu maximieren. Somit bleibt Ransomware als eine der Top-Crimeware-Bedrohungen auch in diesem Jahr präsent. Während die Verwendung von dokumentenbasierten Makros zur Ransomware-Verteilung aber relativ selten bleibt, greifen die Cyberkriminellen offenbar lieber auf bewährte Muster zurück.

Mittels des Bedrohungsanalysedienstes AutoFocus beobachtete Palo Alto Networks über 400.000 Einzelsitzungen, die den Macro-Downloader Bartallex enthielten, wodurch die Ransomware Locky ihren Weg auf infizierte Computer findet. Die Malware-Forscher vermuten, dass es eine Verbindung zwischen dem Dridex-Botnet Affiliate-220 und Locky gibt, aufgrund ähnlichen Verteilungsmustern, sich überlappenden Dateinamen und dem Fehlen von Kampagnen aus dieser besonders aggressiven Affiliate, die mit der anfänglichen Entstehung von Locky zusammenfällt. Unit 42, das Malware-Analyseteam von Palo Alto Networks, hat diese Bedrohung näher untersucht, um daraus Handlungsempfehlungen abzuleiten und so mögliche Auswirkungen zu verhindern.

Verbreitung und Installation

Die Telemetrie von Palo Alto Networks zeigte, dass Locky primär auf E-Mail-Verbreitung setzt, durch massive Phishing-Kampagnen mit Microsoft-Word-Dokumenten als Anhang. Thematisch halten sich diese bösartigen Nachrichten an die folgende Konvention: Als Betreff wird eine Rechnung genannt und ein Schad-Dokument angehängt.

Die Analyse ergab zudem, dass diese für einen Schlüsselaustausch auf Command-and-Control-Kommunikation (C2) angewiesen ist, bevor sie die Dateien der Opfer verschlüsselt. Sie führt den Schlüsselaustausch im Speicher für diesen Prozess aus. Dies ist interessant, da die meiste Ransomware einen zufälligen Verschlüsselungscode lokal auf dem Host des Opfers erzeugt und dann eine verschlüsselte Kopie an die Infrastruktur der Angreifer überträgt. Daraus ergibt sich eine vielversprechende Strategie, um die aktuelle Generation von Locky durch die Störung der zugehörigen C2-Kommunikation abzuwehren. Angriffsopfer, die nicht in der Lage sind, diese Bedrohung abzuwehren, würde dann eine Lösegeldforderung erhalten, auf der sie zu einem Besuch des Locky-Zahlungsportals verwiesen werden.

Bedrohungsvolumen und Ziele

Unit 42 untersuchte etwa 446.000 Sitzungen in Zusammenhang mit dieser Bedrohung, wobei über die Hälfte davon auf die Vereinigten Staaten entfielen (54 Prozent). Zum Vergleich, auf die nächsten am stärksten betroffen Länder, Kanada und Australien, entfielen zusammen nur neun Prozent. Die Branchenanalyse enthüllte wie erwartet eine wahllose Verteilung innerhalb der betroffen Länder. Dennoch machten klassische Ziele wie Hochschulen, Groß- und Einzelhandel sowie Fertigungsunternehmen mehr als ein Drittel der beobachteten Ziele aus.

Wird dieses Volumen zusammen mit den »Entschlüsselungsgebühren« betrachtet, die Locky von seinen Opfern verlangt, wird klar, warum Ransomware im Allgemeinen in der Bedrohungslandschaft weiter gedeiht. Selbst wenn nur eine 50-prozentige Wirksamkeit/Infektionsrate für diese 446.000 Sitzungen und eine Zahlungsrate von 1 Prozent bei einer »Gebühr« von 0,5 Bitcoins (BTC) angenommen wird, bringen die aktuell beobachteten Aktivitäten den Schadakteuren Gewinne von mehreren Hunderttausend US-Dollar ein.

Schlussfolgerung

Locky tritt sehr ambitioniert in die Fußstapfen anderer bekannter Ransomware-Familien. Trotz einiger Schwächen in ihrer aktuellen Implementierung sind künftig für diese Bedrohung Weiterentwicklungen zu erwarten. Letztlich wird eine Gruppe von Angreifern durch Erfolge ermutigt und inspiriert so andere Nachahmer. Es versteht sich von selbst, dass die cyberkriminellen Akteure auch weiterhin Anstrengungen unternehmen werden, um die bereits lukrative Erpressung der Opfer durch Verschlüsselung zunehmend im industriellen Stil zu betreiben.

Die Verteidigung gegen Ransomware erfordert zunächst einen Schwerpunkt auf die Grundlagen eines hohen Sicherheitsniveaus: Dies bedeutet Sicherheitsbewusstsein und das Härten und Patchen von Systemen. Ransomware kann in Unternehmen besonders schädlich sein, wo diese Art von Bedrohung häufig auf Netzwerkfreigaben und andere Medien, die an Unternehmensressourcen angebunden sind, abzielt. Um damit verbundene Risiken weiter zu reduzieren, sind mehrstufige präventive Kontrollen ein absolutes Muss.

Weitere Informationen finden Sie unter www.paloaltonetworks.com.