Ransomware

Locky-Ransomware kehrt an die Spitze der größten Schädlinge zurück

, München, Check Point | Autor: Maya Horowitz

Locky-Ransomware kehrt an die Spitze der größten Schädlinge zurück

Spam-E-Mails mit getarnten Downloader im Word- oder Zip-Anhang

Die IT-Security Forscher von Check Point® Software Technologies haben im September einen massiven Anstieg bei Locky-Angriffen rund um den Globus festgestellt. Dabei kompromittierte die Ransomware laut des neuesten Global Threat Impact Index zufolge weltweit 11,5 Prozent aller Organisationen.

Locky war seit November 2016 in dem von Check Point erstellten Ranking der „Most Wanted“ Malware-Arten nicht mehr unter den ersten zehn aufgetaucht, doch im September dieses Jahres wurde die Ransomware durch das Necurs-Botnet auf Platz zwei katapultiert. Diese Angriffe drückten Locky im Index um 25 Plätze nach oben, so dass es jetzt direkt hinter der Malvertising-Kampagne RoughTed liegt.

Locky verbreitet sich primär über Spam-E-Mails, die einen als Word- oder Zip-Anhang getarnten Downloader mit bösartigen Makros enthalten. Aktivieren Nutzer diese Makros – üblicherweise über eine Social-Engineering-Anweisung – wird der Anhang heruntergeladen und die Malware installiert, welche die Nutzerdateien verschlüsselt. Eine Meldung weist den Nutzer an, den Tor-Browser herunterzuladen und eine Internetseite zu besuchen, die eine Bitcoin-Zahlung erfordert.

Lockys Verbreitung begann im Februar 2016, und sie entwickelte sich schnell zu einer der bedeutendsten Malware-Familien der Welt. Im Juni 2016 aktivierte das Necurs-Botnet eine aktualisierte Version von Locky, die neue Techniken zur Erkennungsvermeidung enthielt.

Das Wiederaufleben von Locky zeigt, dass sich Unternehmen, was Malware betrifft, niemals auf ihren Lorbeeren ausruhen können. Raffinierte Cyberkriminelle werden weiter nach Wegen suchen, vorhandene Tools zu optimieren, um sie wieder wirksam zu machen, während leistungsstarke Botnetze alte Varianten zu neuem Leben erwecken und dafür sorgen, dass Nutzer in aller Welt schnellstmöglich angegriffen werden können. Die Tatsache, dass im September scheinbar mehr als eine von zehn Organisationen weltweit von einer einzigen Ransom-Familie kompromittiert wurde, macht deutlich, dass bekannte Malware genauso gefährlich sein kann wie brandneue Varianten.

Die Top 3 „Most Wanted” Malware-Arten im September 2017:

  1. ↔ RoughTed – Großangelegte Malvertising-Kampagne, die zur Verbreitung verschiedener bösartiger Webseiten und Payloads, wie Scams, Adware, Exploit Kits und Ransomware, eingesetzt wird. Sie kann für Angriffe auf jegliche Art von Plattform und Betriebssystem verwendet werden und nutzt die Umgehung von Werbeblockern und Fingerprinting, um dafür zu sorgen, dass der wichtigste Angriff verbreitet wird.
  2. ↑ Locky – Ransomware, deren Verbreitung im Februar 2016 begann, und die sich hauptsächlich über Spam-E-Mails verbreitet, die einen als Word- oder Zip-Anhang getarnten Downloader enthalten, welcher dann die Malware, die Nutzerdateien verschlüsselt, herunterlädt und installiert.
  3. ↓ Globeimposter – Als eine Variante der Globe-Ransonmware getarnte Ransomware. Sie wurde im Mai 2017 entdeckt und wird durch Spam-Kampagnen, Malvertising und Exploit-Kits verbreitet. Bei der Verschlüsselung hängt die Ransomware an jede verschlüsselte Datei die Erweiterung .crypt an.

Die Pfeile beziehen sich auf die Veränderung in der Rangliste verglichen mit dem Vormonat

Maya Horowitz, Threat Intelligence Group Manager bei Check Point

„Sollte noch irgendeine Organisation die Ernsthaftigkeit der Ransomware-Bedrohung anzweifeln, sollte diese Statistik sie zum Umdenken bewegen”, sagt Maya Horowitz, Threat Intelligence Group Manager bei Check Point. „Ransomware hat zwei der Top-Drei-Plätze belegt – eine davon ist eine relativ neue Variante, die in diesem Jahr erst aufkam. Die andere gehört zu einer älteren Familie, die gerade einen massiven Neustart erlebte. Es genügt, dass ein einziger Mitarbeiter von einem Social-Engineering-Trick hereingelegt wird und Organisationen können in eine hochgradig kompromittierende Lage gebracht werden.“

Check Points Global Threat Impact Index und seine ThreatCloud Map werden von Check Points ThreatCloud Intelligence betrieben, dem größten Kooperationsnetzwerk zur Bekämpfung von Cyberkriminalität, das Bedrohungsdaten und Angriffstrends aus einem weltumspannenden Netz von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank enthält über 250 Millionen auf Bot untersuchte Adressen, über 11 Millionen Malware-Signaturen und mehr als 5,5 Millionen infizierte Webseiten. Darüber hinaus identifiziert sie täglich Millionen Malware-Typen.