Beiträge

Locky erhält Updates

Lange Zeit hat man von Locky nicht mehr viel gehört, wäh­rend über ande­re Vertreter der Krypto-Trojaner zahl­reich berich­tet wur­de. Doch Locky ist nach wie vor aktiv und hat dazu gelernt. Wohl weni­ger gra­vie­rend ist die Tatsache, dass Locky nun die Dateiendung “.odin” statt “.locky” für die ver­schlüs­sel­ten Dateien ver­wen­det. Gravierender ist die Neuerung, dass für die erfolg­rei­che Arbeit nun kei­ne Online-Verbindung zum C&C Server der hin­ter Locky ste­hen­den Erpresser mehr not­wen­dig. Bisher konn­te Locky ohne die­se Verbindung nicht mit sei­nem Werk begin­nen. Nun benö­ti­gen neue­re Varianten die Server nicht mehr als Anstoß zur Erzeugung des loka­len Schlüssels. Die genaue Technik ist noch nicht bekannt.

Die Vorteile lie­gen klar auf der Hand: Die kosten­in­ten­si­ve Infrastruktur zum Betrieb der C&C Server ent­fällt. Lösegeldzahlungen wer­den nach wie vor über Links in Tor-Netz abge­wickelt. Aber auch den Ermittlern feh­len somit wert­vol­le Anhaltspunkte, um die Drahtzieher mög­li­cher­wei­se ding­fest zu machen.

Im Vergleich zu ande­ren Krypto-Trojanern steht für Locky nach wie vor kein Entschlüsselungstool zur Verfügung. Hier hilft nur zah­len, oder ein funk­ti­ons­fä­hi­ges Backup für ein Recovery zur Verfügung zu haben. Übrigens: Wie lan­ge lie­gen Ihre letz­te Überprüfung der Backup-Strategie oder ein voll­wer­ti­ger Recovery-Test zurück?

http://heise.de/-3354925

Petya Logo (Trendmicro.com)

Petya-Trojaner ist geknackt, Passwort-Generator verfügbar

Betroffene des Krypto-Trojaners Petya kön­nen auf­at­men. Der Algorithmus wur­de geknackt und es steht ein Passwort-Generator bereit. Laut ver­schie­de­nen Online-Meldungen u.a. heise.de funk­tio­niert die Entschlüsselung auch.

Etwas tricky

Um die Entschlüsselung durch­zu­füh­ren, muss die betrof­fe­ne Festplatte in einen nicht infi­zier­ten PC als zusätz­li­che Platte ein­ge­baut wer­den. Mittels des “Petya Sector Extractor” des Sicherheitsforschers Fabian Wosar wer­den die nun benö­tig­ten Angaben aus dem Verschlüsselungscode extra­hiert. Diesen Code trägt man nun auf der Webseite von einem unter dem Namen leos­tone auf­tre­ten­den Unbekannten ein und erhält den eigent­li­chen Entschlüsselungscode. Nun muss die Platte wie­der ins ursprüng­li­che System und dort gestar­tet wer­den. Trägt man den Code dort ein, soll nach aktu­el­len Angaben die Entschlüsselung funk­tio­nie­ren.

Auf Petya beschränkt

Tool und Webseite funk­tio­nie­ren ledig­lich für die aktu­el­le Variante von Petya. Betroffene von Locky, Teslacrypt oder ande­rer Krypto-Trojaner soll­ten dies bit­te nicht aus­pro­bie­ren.

ESET meldet rasante Verbreitung der Nemucod-Malware

Der Sicherheitssoftwarehersteller ESET mel­det einen rasan­ten Anstieg der Erkennung der Nemucod-Malware. Diese ist zwar bereits bekannt, jedoch nach wie vor heim­tückisch. Wie bei vie­len ande­ren Angriffen, kommt auch hier die Bedrohung per Email-Anhang ins Haus, Betreff unter ande­rem Rechnung oder auch Gerichtsvorladung. Der schad­haf­te Anhang (oft­mals ein getarn­tes ZIP-Archiv) ent­hält Javascript-Code. Dieser lädt nach Öffnen des Anhangs die Malware Nemucod her­un­ter und star­tet die­se. Nemucod selbst lädt dann bekann­te Vertreter wie Locky und Teslacrypt nach, und akti­viert die­se sogleich. Danach beginnt das übli­che Spiel mit Verschlüsselung und Lösegeldforderung.

Da sich Nemucod über die Adressbücher bereits infi­zier­ter Systeme wei­ter ver­brei­tet, ist daher selbst bei bekann­ten Absendern äußer­ste Vorsicht gebo­ten, wenn Datei-Anhänge per Email in Ihrem Postfach auf­schla­gen.

Unsere Tipps:

  • Email-Anhänge unbe­kann­ter Absender gene­rell nicht öff­nen
  • Email-Anhänge bekann­ter Absender nur mit äußer­ster Vorsicht öff­nen und auch nur, wenn es wirk­lich not­wen­dig ist (im Zweifel: Rufen Sie den Absender doch kurz an, was es mit der Email samt Anhang auf sich hat)
  • Für aus­rei­chen­de Awareness in der Organisation sor­gen (Newsletter, Schulungen etc.)
  • Im Rahmen einer durch­dach­ten Backupstrategie rele­van­te Daten regel­mä­ßig sichern. Wenn mög­lich, Sicherungsmedien ent­fer­nen oder bei Netzsicherung Verbindung unter­bre­chen nach Backup
  • Betriebssystem, Anwendungen und Virenscanner (Server und Client) stets aktu­ell hal­ten.

Infektion mit Locky und Teslacrypt jetzt auch über Werbeanzeigen (Malvertising)

Seit gerau­mer Zeit besteht auch durch sog. Drive-by-Downloads (Anzeige infi­zier­ter Webseiten im Browser) ein nicht uner­heb­li­ches Risiko, sich eine der aktu­el­len Versionen der Krypto-Trojaner wie Locky oder Teslacrypt zu fan­gen. Doch damit nicht genug, jetzt sind erste infi­zier­te Werbeanzeigen auf­ge­taucht. Diese Anzeigen, die über übli­che Werbenetzwerke ver­brei­tet wer­den, nut­zen aktiv Sicherheitslücken in Plugins wie Flash oder Silverlight aus, um das System des Webseitenbesuchers zu infi­zie­ren. Somit kann auch der Besuch seriö­ser Webseiten zu einer Infektion mit einem Krypto-Trojaner wie Locky oder Teslacrypt füh­ren. Bereits am 16.03.2016 mel­de­ten ame­ri­ka­ni­sche Sicherheitsforscher meh­re­re zehn­tau­send Infektionen durch den Besuch von Seiten wie BBC, MSN oder auch der New York Times. Die Bedrohung über die­se Seiten ist wohl mitt­ler­wei­le gestoppt, den­noch nicht zu Ende.

Unser Tipp:

  • Browser stets aktu­ell hal­ten
  • Plugins wie Flash oder Silverlight umge­hend deak­ti­vie­ren, noch bes­ser deinstal­lie­ren

Update 18.03.2016

Per Email erreich­ten uns eini­ge Anmerkungen, ohne Flash sei der größ­te Teil des Webangebots nicht zu nut­zen. Die mei­sten Anbieter ver­mei­den mitt­ler­wei­le die Gestaltung und Programmierung mit­tels sol­cher Zusatzsoftware. Die aktu­el­len HTML Standards bie­ten aus­rei­chend Alternativen. Unsere Meinung: wer meint, heu­te noch Intros oder Navigation mit Flash anbie­ten zu müs­sen, braucht sich über aus­blei­ben­de Besucher nicht wun­dern. Auf unse­ren Geräten wer­den sol­che regel­mä­ßig mit Sicherheitslücken aus­ge­stat­te­ten “Gimmicks” erst gar nicht instal­liert. Und es geht.

LKA NRW warnt vor Krypto-Trojanern

Uwe Jacob, Chef des Landeskriminalamts Nordrhein-Westfalen (NRW) in Düsseldorf äußert sich besorgt zur Bedrohung durch die aktu­el­len Krypto-Trojaner-Kampagnen:

Wir stel­len der­zeit eine qua­li­ta­ti­ve Veränderung sol­cher heim­tücki­scher Angriffe fest.”

Jacob wei­ter:

Wenn ein Krankenhaus die Notfallversorgung ein­stel­len und Operationen ver­schie­ben muss, wenn eine Stadtverwaltung kei­nen Zugriff mehr auf ihre Daten hat oder auch Unternehmen in ihrer Existenz bedroht sind, dann macht mir das gro­ße Sorgen!”

Die Vorsorge zur Abwehr sol­cher Attacken und auch deren Krisenbewältigung im Erfolgsfall sieht Jacob als kla­re Aufgabe des Spitzenmanagements einer Organisation, ganz unab­hän­gig davon, ob es sich dabei um eine öffent­li­che oder nicht-öffentliche Stelle han­delt. Daher geht sein Appell sowohl an Vorstände, Geschäftsführer und Unternehmer als auch an Bürgermeister, Landräte, Amts- und Geschäftsstellenleiter und alle ande­ren Führungskräfte:

Alle sind per­sön­lich gefor­dert und das ist ins­be­son­de­re die Aufgabe des Spitzenmanagements, der Oberbürgermeister und der Behördenleiter. Sie müs­sen Ihr Unternehmen, Ihre Behörde, Ihre Organisation und die Bürgerinnen und Bürger vor Schaden bewah­ren. Damit kön­nen wir nicht war­ten. Es ist höch­ste Zeit, jetzt die not­wen­di­gen Maßnahmen ein­zu­lei­ten.”

Die aktu­el­len Krypto-Trojaner (Ransomware) exi­stie­ren in so viel­fäl­ti­gen Varianten und wer­den dabei unter Inkaufnahme von Streuverlusten zigtausend- oder mil­lio­nen­fach ver­teilt, dass eine Abwehr fast nicht mög­lich scheint. Virenschutz ist erst eini­ge Stunden nach Neuerscheinung einer abge­wan­del­ten Version in der Lage, Schutz zu bie­ten. Die Trojaner ver­schlüs­seln ver­schie­de­ne Dateien und rich­ten so unmit­tel­ba­ren Schaden bei den Betroffenen an. Dabei wird Kryptographie ein­ge­setzt, die dem Stand der Technik ent­spricht. Somit sind die Chancen gering, die Verschlüsselung bre­chen zu kön­nen. Und die Liste der befal­le­nen Dateien wird täg­lich grö­ßer. Hinzu kom­men neue Infektionswege über Drive-by-Downloads und Malvertising-Kampagnen.

Arne Schönbohm, Präsident des BSI assi­stiert

Die IT-Sicherheitsvorfälle der letz­ten Wochen zei­gen, wie abhän­gig unse­re Gesellschaft von Informationstechnologie ist und wel­che Auswirkungen ein Cyber-Angriff auf die Verfügbarkeit Kritischer Infrastrukturen haben kann. Krankenhäuser sind auf­grund ihrer her­aus­ra­gen­den Bedeutung für das Wohlergehen der Bevölkerung ein wich­ti­ger Teil der Kritischen Infrastrukturen und soll­ten daher die poten­zi­el­len Risiken für die Funktionsfähigkeit ihrer Prozesse ken­nen und die­sen durch geeig­ne­te Maßnahmen der Prävention, Detektion und Reaktion begeg­nen.”

a.s.k. Datenschutz berät und unter­stützt bei der Auswahl und Einführung geeig­ne­ter Maßnahmen zur Risikominimierung sowie der Krisenbewältigung. Sprechen Sie uns an.

 

Locky: Jeder Dritte bereit Lösegeld zu zahlen

Nach einer aktu­el­len Studie ist jeder Dritte bereit, Lösegeld zu zah­len, um sei­ne von Locky oder ande­ren Krypto-Trojanern ver­schlüs­sel­ten Dateien wie­der ent­schlüs­seln zu kön­nen. Laut der Bitdefender-Studie sind poten­ti­el­le Opfer bereit, im Schnitt 211 Euro zu bezah­len.

Das BSI und wei­te­re Einrichtungen raten von Zahlungen an die Erpresser jedoch ab. Einerseits kann man nie sicher sein, einen funk­tio­nie­ren­den Schlüssel für die Entsperrung zu erhal­ten. Und wie ein Vertreter von Bitdefender wei­ter­hin anmerkt, unter­stützt man die Erpresser damit direkt — und lei­stet einer wei­te­ren Zunahme sol­cher Vorfälle im Zweifel Vorschub.

Steht der Privatanwender jedoch vor tau­sen­den ver­schlüs­sel­ten Bildern, Musikdateien und Dokumenten oder eine Organisation ist auf­grund der Verschlüsselung arbeits­un­fä­hig (wodurch finan­zi­el­le Verluste bin hin zur Existenzbedrohung ent­ste­hen kön­nen), dann sind sol­che Aussagen schnell rela­ti­viert. Ein Restrisiko bleibt jedoch. Aktuelle Fälle zei­gen, dass trotz erfolg­rei­cher Entschlüsselung zu Datenverlusten kom­men kann.

Erfolgreiche Krypto-Trojaner: US Krankenhaus zahlt 40 Bitcoins Lösegeld

Heise.de mel­det, Locky ist erfolg­reich. Ein US-Krankenhaus aus Los Angeles hat zur Entschlüsselung sei­ner Computer 40 Bitcoins Lösegeld an die Erpresser bezahlt. Die Krankenhaus-Leitung infor­mier­te dazu mit dem Hinweis “Das war die ein­fach­ste Lösung”. Die 40 Bitcoins ent­spre­chen zum Zeitpunkt der Zahlung unge­fähr 15.000 Euro.