Nachfolger der Malware-Familie Kuluoz im Kommen
Palo Alto Networks wartet auf neue große Malware-Welle
München, den 25. August 2015 – Palo Alto Networks hat in der Vergangenheit mehrfach über die berüchtigte Malware-Familie Kuluoz berichtet. Diese Familie war die jüngste Weiterentwicklung der Asprox-Malware. Während ihres Höhepunkts im Jahr 2014 war sie für 80 Prozent aller Malware-Ereignisse, die vom Cloud-basierten Überwachungsdienst WildFire beobachtet wurden, verantwortlich. Als das Forschungsteam von Palo Alto Networks seine Threat Landscape Review, also den Bericht zur aktuellen Bedrohungslandschaft, im Dezember des vergangenen Jahres präsentierte, wurde diese Malware-Familie zu Recht als Plage bezeichnet, die es 2014 auf nahezu jedes von Palo Alto Networks geschützte Unternehmen abgesehen hat. Die Verbreitung von Kuluoz erfolgte vor allem über E-Mail, daher konnte eine große Anzahl von SMTP-Sessions, aber auch Downloads über eine Vielzahl von Webmail-Clients beobachtet werden.
Im gesamten Jahr 2014 gab es mehrere Spamwellen mit gefälschten Inhalten wie gerichtlichen Mitteilungen, Voicemail-Nachrichten und Benachrichtigungen über Paketzustellung: alle inklusive Kuluoz im Anhang. Öffnete der Empfänger einen infizierten Anhang, wurde dessen Rechner schnell Teil eines Botnetzes und sendete Kopien der Malware an andere Opfer, während der Bot-Master automatisch zusätzliche bösartige Software auf dem System installierte.
„Angesichts der regen Aktivitäten war uns Forschungsteam sehr überrascht, als die Malware Ende Dezember 2014 praktisch verschwunden war. Als dies zum ersten Mal bemerkt wurde, lag der Verdacht nahe, dass noch keine aktuellen Kuluoz-Samples vorhanden waren, die eine Identifizierung ermöglichten“, so Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks. „Nur Wochen zuvor berichtete das Forschungszentrum über die Taktik von Kuluoz, doch zum Jahreswechsel und auch Monate danach ließ sich Kuluoz nicht wieder blicken. E-Mails, mit denen Kuluoz zuvor verbreitet wurde, waren nun nur noch harmloser Spam.“
Auf der Grundlage der gesammelten Daten war klar, dass die Command-and-Control-Infrastruktur im Januar heruntergefahren wurde und das Botnetz nicht mehr existierte. Palo Alto Networks erfasste in der Folgezeit zwar immer wieder neue Samples von Kuluoz mittels WildFire, da „verwaiste“ infizierte Clients weiterhin neu verschlüsselte Varianten der Malware versendeten. Das Volumen beträgt derzeit jedoch nur einen winzigen Bruchteil im Vergleich zu der Phase als Kuluoz auf seinem Höhepunkt war.
Das in diesem Zusammenhang bekannte, ursprüngliche Asprox-Botnetz wurde mehrmals verändert, seit es im Jahr 2007 online ging. Noch gibt es aber keine Anzeichen dafür, dass die Akteure, die hinter diesen Angriffen stecken, verhaftet oder gezwungen wurden, den Betrieb einzustellen. Daher ist es wahrscheinlich, dass sie das Botnetz, über das Kuluoz verbreitet wurde, nur stillgelegt haben, um sich neu zu formieren. Sie könnten dann erneut zuschlagen, nachdem sie Möglichkeiten gefunden haben, sich den Erkennungsmaßnahmen der Sicherheitsbranche zu entziehen. Wer zuvor für die Verbreitung von 80 Prozent aller Malware verantwortlich war, dürfte es eilig haben, zum nächsten Höhenflug anzusetzen.
Ersetzt wurde Kuluoz als Top-Malware-Familie durch den derzeit amtierenden Champion namens Upatre. Der Downloader, der in der Regel den Banking-Trojaner Dyre oder die Ransomware CryptoWall installiert, ist jedoch nicht annähernd so weit verbreitet wie es Kuluoz war. Dennoch hat sich Upatre schon mehrfach bemerkbar gemacht. Das Forschungsteam von Palo Alto Networks wird sich an seine Fersen heften und über die neueste Entwicklung berichten, sobald die Malware weiter an Boden gewinnt.
