Beiträge

Wir bauen uns einen Erpressungstrojaner per Mausklick

Ein neu­es Geschäftsmodell hält Einzug. Wie heise.de berich­tet, steht die Ransomware Satan nun kosten­los  zur Verfügung. Über eine Weboberfläche im Tor-Netz kann sich nun jeder Abenteurer sei­nen eige­nen Kryptotrojaner zusam­men­klicken. So kön­nen nicht nur, aber auch die Erpresserbotschaft und die Höhe des Lösegelds in Bitcoins kon­fi­gu­riert wer­den. Die so erzeug­te Schadsoftware muss dann selbst ver­teilt wer­den. Entsprechende Word-Makros und infi­zier­te Windows-Hilfe-Dateien wer­den mit­ge­lie­fert und unter­stüt­zen dabei.

Ganz kosten­los ist der Service dann aller­dings doch nicht. Gezahlte Lösegelder gehen zuerst an die Drahtzieher hin­ter Satan. Diese brin­gen dann eine “Provision” für den Service in Höhe von 30% in Abzug. Lediglich der Rest geht dann an den Initiator und Trojanerbastler. Je mehr Geräte jedoch infi­ziert wer­den, desto weni­ger Provision soll fäl­lig sein.

Erste Virenscanner erken­nen die mit Satan gene­rier­ten Trojaner bereits. Das ist jedoch kein Grund zur Entwarnung. Bitte sen­si­bi­li­sie­ren Sie Ihre Mitarbeiter.

Kryptotrojaner Goldeneye greift gezielt Personalabteilungen an, Polizei warnt bundesweit

Mitarbeiter in Personalabteilungen, aber nicht nur die­se, soll­ten aktu­ell auf der Hut sein. Ein neu­er Kryptotrojaner namens “Goldeneye” (mög­li­cher­wei­se eine Anlehnung an die schlag­kräf­ti­ge Waffe in dem gleich­na­mi­gen James Bond Film) ist unter­wegs und nimmt gezielt Personalabteilungen ins Visier. Die als Bewerbung getarn­te Email ent­hält eine XLS Tabelle. Wird die­se geöff­net und die Sicherheitsabfrage zur Aktivierung der “Bearbeitungsfunktion” (gemeint ist die Ausführung von Makros) bejaht, geht der bereits von ande­rer Ransomware bekann­te Ablauf los. Da es sich bei Goldeneye augen­schein­lich um einen Ableger von Petya han­delt, einem zuvor bereits akti­ven Verschlüsselungstrojaner, wird das System zu einem Neustart gezwun­gen und dar­auf­hin die Verschlüsselung begon­nen (der Betrachter sieht der­weil einen Bildschirm, der an die Anzeige des Betriebssystemtools Chkdsk erinnert).

Mittlerweile hängt zahl­rei­chen Emails noch ein zusätz­li­ches PDF an. Email-Text und PDF-Inhalt sind in ein­wand­frei­em Deutsch ver­fasst und gau­keln eine Bewerbung vor. Wie heise.de berich­tet, wer­den teil­wei­se sogar aktu­el­le Stellenausschreibungen der betrof­fe­nen Organisation erwähnt. Weiterhin wer­den in Teilen nur orga­ni­sa­ti­ons­in­ter­ne Email-Adressen ange­spro­chen, inter­ne Ansprechpartner und Rufnummern genannt, die in der Form nicht frei ver­füg­bar sind. Die Versender müs­sen dem­nach eini­ges an Aufwand betrie­ben haben, um die Daten für eine so ziel­ge­rich­te­te Kampagne zu beschaf­fen. Da die ange­häng­te XLS Tabelle regel­mä­ßig geän­dert wird, tun sich vie­le Virenscanner zur Zeit noch sehr schwer.

Als Absender fun­giert iro­ni­scher­wei­se eine Email-Adresse eines Unternehmens, das unter ande­rem Entschlüsselungshilfe für von Petya betrof­fe­ne Organisationen anbie­tet. Sowohl das Unternehmen, die Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner  als auch der Träger des Absendernamens “Rolf Drescher” beteu­ern nach­voll­zieh­bar, mit die­ser Angriffswelle nichts zu tun zu haben. Es wird viel­mehr ein Racheakt ver­mu­tet, da sich Goldeneye und Petya sehr ähn­lich sind. Aufgrund der vie­len Anfragen und Beschwerden wur­den die Arbeitsabläufe der Ingenieursozietät bereits stark beein­träch­tigt. Ob auch wei­te­re Email-Adressen für den Versand genutzt wur­den, ist zur Zeit nicht bekannt.

Nach Meldungen von heise.de sind akut betrof­fen Windows 7, Windows 10 und Server 2008. Die Schadroutine scheint auf Windows Server 2012 nicht zu funk­tio­nie­ren. Verlassen soll­te man sich dar­auf jedoch nicht. Auch zur Verschlüsselung von Dateien auf Netzfreigaben gibt es unter­schied­li­che Aussagen, ob die­se von “Goldeneye” erreicht wer­den oder nicht.

Bitte sen­si­bi­li­sie­ren Sie Ihre Mitarbeiter zeit­nah für die­se aktu­el­le Bedrohung. Sie soll­ten sich dabei nicht auf Mitarbeiter im Personalbereich beschrän­ken. Auch wenn Inhalt und Aufmachung der Email, gera­de durch die Nennung nur orga­ni­sa­ti­ons­in­ter­ner Fakten, noch so ver­trau­ens­wür­dig erschei­nen, es ist erhöh­te Aufmerksamkeit geboten.

Update 08.1216:

Anscheinend bedie­nen sich die Macher von Goldeneye an Daten der Bundesagentur für Arbeit, um ihren Kryptotrojaner samt Text so pas­send wie mög­lich auf die Zielorganisation zuzu­schnei­den. Dabei wer­den Daten ver­wen­det, die nicht den öffent­li­chen Stellenausschreibungen der Agentur zu ent­neh­men sind, son­dern aus dem inter­nen Bereich stam­men. Laut heise.de hat die Agentur dazu bis­her auf mehr­ma­li­ge Nachfragen kei­ne Stellung bezo­gen, son­dern ledig­lich auf die unrecht­mä­ßi­ge Verwendung des Agentur-Logos in den der Anfrage bei­ge­füg­ten Screenshots hingewiesen.

Wir hal­ten Sie informiert.

Kryptotrojaner mit Wurmfunktion gesichtet

Es war nur eine Frage der Zeit, jetzt ist es also soweit. Microsoft warnt vor einem neu­en Kryptotrojaner namens ZCryptor. Dieser nimmt sich Dateien mit über 80 Dateiendungen vor. Besonders unan­ge­nehm: zusätz­lich nistet sich ZCryptor in die Autostart-Routinen ein­ge­steck­ter USB-Sticks und USB-Laufwerke ein. Somit kann sich der Trojaner bei Nutzung die­ser Speicher an ande­ren Geräten auf die­se Systeme eben­falls verbreiten.

Einen Befall erken­nen Sie an der Dateiendung .zcrypt. Aktuell ist noch kein Tool zum Entschlüsseln ver­füg­bar. Betroffen sind aus­schließ­lich Windows-Systeme. Wer es bis­her noch nicht getan hat, soll­te spä­te­stens jetzt sei­ne Backup-Strategie prü­fen und anpas­sen. Und bit­te nicht ver­ges­sen, Recovery-Tests durch­zu­füh­ren. Das beste Backup hilft nichts, wenn es sich spä­ter nicht wie­der­her­stel­len läßt. Erfolgsprotokolle der Backup-Software sind allei­ne nicht ausreichend.

Wenn Sie mehr über ZCryptor erfah­ren wol­len, Microsoft hat eine Beschreibung dazu online (exter­ner Link) gestellt.

Masterschlüssel für TeslaCrypt veröffentlicht

Laut einer Meldung von heise.de haben die Entwickler von Teslacrypt die Weiterentwicklung ein­ge­stellt und den Masterschlüssel für den Kryptotrojaner ver­öf­fent­licht. Betroffene, deren Syteme und Daten noch ver­schlüs­selt sind, kön­nen auf­at­men. Nach ersten Berichten funk­tio­niert der Master-Key und in Verbindung mit dem Tool Tesladecoder sind alle Varianten von Teslacrypt 1 bis 4 wie­der zu entschlüsseln.

ESET meldet rasante Verbreitung der Nemucod-Malware

Der Sicherheitssoftwarehersteller ESET mel­det einen rasan­ten Anstieg der Erkennung der Nemucod-Malware. Diese ist zwar bereits bekannt, jedoch nach wie vor heim­tückisch. Wie bei vie­len ande­ren Angriffen, kommt auch hier die Bedrohung per Email-Anhang ins Haus, Betreff unter ande­rem Rechnung oder auch Gerichtsvorladung. Der schad­haf­te Anhang (oft­mals ein getarn­tes ZIP-Archiv) ent­hält Javascript-Code. Dieser lädt nach Öffnen des Anhangs die Malware Nemucod her­un­ter und star­tet die­se. Nemucod selbst lädt dann bekann­te Vertreter wie Locky und Teslacrypt nach, und akti­viert die­se sogleich. Danach beginnt das übli­che Spiel mit Verschlüsselung und Lösegeldforderung.

Da sich Nemucod über die Adressbücher bereits infi­zier­ter Systeme wei­ter ver­brei­tet, ist daher selbst bei bekann­ten Absendern äußer­ste Vorsicht gebo­ten, wenn Datei-Anhänge per Email in Ihrem Postfach aufschlagen.

Unsere Tipps:

  • Email-Anhänge unbe­kann­ter Absender gene­rell nicht öffnen
  • Email-Anhänge bekann­ter Absender nur mit äußer­ster Vorsicht öff­nen und auch nur, wenn es wirk­lich not­wen­dig ist (im Zweifel: Rufen Sie den Absender doch kurz an, was es mit der Email samt Anhang auf sich hat)
  • Für aus­rei­chen­de Awareness in der Organisation sor­gen (Newsletter, Schulungen etc.)
  • Im Rahmen einer durch­dach­ten Backupstrategie rele­van­te Daten regel­mä­ßig sichern. Wenn mög­lich, Sicherungsmedien ent­fer­nen oder bei Netzsicherung Verbindung unter­bre­chen nach Backup
  • Betriebssystem, Anwendungen und Virenscanner (Server und Client) stets aktu­ell halten.

Infektion mit Locky und Teslacrypt jetzt auch über Werbeanzeigen (Malvertising)

Seit gerau­mer Zeit besteht auch durch sog. Drive-by-Downloads (Anzeige infi­zier­ter Webseiten im Browser) ein nicht uner­heb­li­ches Risiko, sich eine der aktu­el­len Versionen der Krypto-Trojaner wie Locky oder Teslacrypt zu fan­gen. Doch damit nicht genug, jetzt sind erste infi­zier­te Werbeanzeigen auf­ge­taucht. Diese Anzeigen, die über übli­che Werbenetzwerke ver­brei­tet wer­den, nut­zen aktiv Sicherheitslücken in Plugins wie Flash oder Silverlight aus, um das System des Webseitenbesuchers zu infi­zie­ren. Somit kann auch der Besuch seriö­ser Webseiten zu einer Infektion mit einem Krypto-Trojaner wie Locky oder Teslacrypt füh­ren. Bereits am 16.03.2016 mel­de­ten ame­ri­ka­ni­sche Sicherheitsforscher meh­re­re zehn­tau­send Infektionen durch den Besuch von Seiten wie BBC, MSN oder auch der New York Times. Die Bedrohung über die­se Seiten ist wohl mitt­ler­wei­le gestoppt, den­noch nicht zu Ende.

Unser Tipp:

  • Browser stets aktu­ell halten
  • Plugins wie Flash oder Silverlight umge­hend deak­ti­vie­ren, noch bes­ser deinstallieren

Update 18.03.2016

Per Email erreich­ten uns eini­ge Anmerkungen, ohne Flash sei der größ­te Teil des Webangebots nicht zu nut­zen. Die mei­sten Anbieter ver­mei­den mitt­ler­wei­le die Gestaltung und Programmierung mit­tels sol­cher Zusatzsoftware. Die aktu­el­len HTML Standards bie­ten aus­rei­chend Alternativen. Unsere Meinung: wer meint, heu­te noch Intros oder Navigation mit Flash anbie­ten zu müs­sen, braucht sich über aus­blei­ben­de Besucher nicht wun­dern. Auf unse­ren Geräten wer­den sol­che regel­mä­ßig mit Sicherheitslücken aus­ge­stat­te­ten “Gimmicks” erst gar nicht instal­liert. Und es geht.

LKA NRW warnt vor Krypto-Trojanern

Uwe Jacob, Chef des Landeskriminalamts Nordrhein-Westfalen (NRW) in Düsseldorf äußert sich besorgt zur Bedrohung durch die aktu­el­len Krypto-Trojaner-Kampagnen:

Wir stel­len der­zeit eine qua­li­ta­ti­ve Veränderung sol­cher heim­tücki­scher Angriffe fest.”

Jacob wei­ter:

Wenn ein Krankenhaus die Notfallversorgung ein­stel­len und Operationen ver­schie­ben muss, wenn eine Stadtverwaltung kei­nen Zugriff mehr auf ihre Daten hat oder auch Unternehmen in ihrer Existenz bedroht sind, dann macht mir das gro­ße Sorgen!”

Die Vorsorge zur Abwehr sol­cher Attacken und auch deren Krisenbewältigung im Erfolgsfall sieht Jacob als kla­re Aufgabe des Spitzenmanagements einer Organisation, ganz unab­hän­gig davon, ob es sich dabei um eine öffent­li­che oder nicht-öffentliche Stelle han­delt. Daher geht sein Appell sowohl an Vorstände, Geschäftsführer und Unternehmer als auch an Bürgermeister, Landräte, Amts- und Geschäftsstellenleiter und alle ande­ren Führungskräfte:

Alle sind per­sön­lich gefor­dert und das ist ins­be­son­de­re die Aufgabe des Spitzenmanagements, der Oberbürgermeister und der Behördenleiter. Sie müs­sen Ihr Unternehmen, Ihre Behörde, Ihre Organisation und die Bürgerinnen und Bürger vor Schaden bewah­ren. Damit kön­nen wir nicht war­ten. Es ist höch­ste Zeit, jetzt die not­wen­di­gen Maßnahmen einzuleiten.”

Die aktu­el­len Krypto-Trojaner (Ransomware) exi­stie­ren in so viel­fäl­ti­gen Varianten und wer­den dabei unter Inkaufnahme von Streuverlusten zigtausend- oder mil­lio­nen­fach ver­teilt, dass eine Abwehr fast nicht mög­lich scheint. Virenschutz ist erst eini­ge Stunden nach Neuerscheinung einer abge­wan­del­ten Version in der Lage, Schutz zu bie­ten. Die Trojaner ver­schlüs­seln ver­schie­de­ne Dateien und rich­ten so unmit­tel­ba­ren Schaden bei den Betroffenen an. Dabei wird Kryptographie ein­ge­setzt, die dem Stand der Technik ent­spricht. Somit sind die Chancen gering, die Verschlüsselung bre­chen zu kön­nen. Und die Liste der befal­le­nen Dateien wird täg­lich grö­ßer. Hinzu kom­men neue Infektionswege über Drive-by-Downloads und Malvertising-Kampagnen.

Arne Schönbohm, Präsident des BSI assistiert

Die IT-Sicherheitsvorfälle der letz­ten Wochen zei­gen, wie abhän­gig unse­re Gesellschaft von Informationstechnologie ist und wel­che Auswirkungen ein Cyber-Angriff auf die Verfügbarkeit Kritischer Infrastrukturen haben kann. Krankenhäuser sind auf­grund ihrer her­aus­ra­gen­den Bedeutung für das Wohlergehen der Bevölkerung ein wich­ti­ger Teil der Kritischen Infrastrukturen und soll­ten daher die poten­zi­el­len Risiken für die Funktionsfähigkeit ihrer Prozesse ken­nen und die­sen durch geeig­ne­te Maßnahmen der Prävention, Detektion und Reaktion begegnen.”

a.s.k. Datenschutz berät und unter­stützt bei der Auswahl und Einführung geeig­ne­ter Maßnahmen zur Risikominimierung sowie der Krisenbewältigung. Sprechen Sie uns an.

 

Come talk to me — Sprechender Erpresser-Trojaner Cerber gesichtet

Ob die Entwickler nun unbe­dingt den bekann­ten Song “Come talk to me” von Peter Gabriel im Duett mit Kate Bush im Kopf hat­ten, wer­den wir wohl nicht erfah­ren. Tatsache ist jedoch, dass Experten von TrendMicro einen spre­chen­den Krypto-Trojaner ent­deckt haben. Dieser hört auf den Namen Cerber und geht nach bekann­tem Muster vor.

Krypto-Trojaner Cerber spricht

Sind die erreich­ba­ren Daten erst  mal ver­schlüs­selt, wird auch durch Cerber das Opfer durch einen ent­spre­chen­den Text auf dem Bildschirm auf die­sen Umstand auf­merk­sam gemacht. Zusätzlich wird über eine Audio-Nachricht die Botschaft der Erpresser und die Vorgehensweise zur Entschlüsselung abge­spielt. Zur Zeit steht ein Betrag von rund 1,25 Bitcoins im Raum (ca. 525 US Dollar). Geht das Opfer auf die Entschlüsselung gegen Zahlung nicht ein, ver­dop­pelt sich der Betrag.

Wie wird Cerber verbreitet?

Laut dem Blog-Eintrag von TrendMicro wird Cerber mit­tels Exploit-Kit im Rahmen von soge­nann­ten Malvertising-Kampagnen beim Besuch legi­ti­mer Webseiten ver­brei­tet. Im rus­si­schen Untergrund wer­de Cerber als Ransomware-as-a-Service ange­bo­ten. Daher ist davon aus­zu­ge­hen, dass die Verbreitung und Infektionszahl in abseh­ba­rer Zeit zuneh­men werden.

Wer möch­te, kann sich die Sprachdatei auf dem Blog von Trend Micro anhören.

Wie kann ich mich gegen Cerber schützen?

Hier hel­fen die übli­chen Hausmittel: stets alle Systeme und Programme (gera­de Browser und Plugins) aktu­ell hal­ten, gefähr­de­te Plugins wie Flash deinstal­lie­ren, AdBlocker instal­lie­ren (unbe­stä­tigt!), Surfen auf das unbe­dingt not­wen­di­ge Maß redu­zie­ren (aber Achtung: auch ganz legi­ti­me Seite kön­nen über ver­seuch­te Ad-Kampagnen betrof­fen sein), User sen­si­bi­li­sie­ren und sen­si­bi­li­sie­ren und sen­si­bi­li­sie­ren (das machen Sie wegen Locky & Co wahr­schein­lich eh schon — hof­fent­lich), regel­mä­ßi­ge Backups (und die Sicherung / Sicherungsträger vom Netz entkoppeln).

Stadt Dettelbach zahlt Lösegeld wegen Teslacrypt

Was Insider schon län­ger wuß­ten, ist nun offi­zi­ell. Die Stadt Dettelbach wur­de Opfer des Krypto-Trojaners Teslacrypt. Bereits vor eini­gen Tagen wur­de auf der Webseite der Stadtverwaltung ange­deu­tet, was sich ereig­net hat.

dettelbach-krypto-trojaner

Bereits am 08. Februar 2016 soll durch den Klick eines unvor­sich­ti­gen Mitarbeiters das Unheil sei­nen Lauf genom­men haben. Die Daten auf dem Server der Verwaltung wur­den ver­schlüs­selt. Nun hat man sich ent­schie­den, das gefor­der­te Lösegeld zu zah­len. Und obwohl das BSI und ande­re Einrichtungen von der Zahlung an die Erpresser abra­ten, hat­te die Stadtverwaltung Glück im Unglück. Der gekauf­te Schlüssel zur Entschlüsselung funk­tio­nier­te, zumin­dest teil­wei­se. Die rest­li­chen Daten ver­such­te man, aus einem Backup wie­der­her­zu­stel­len. Wie Spiegel Netzwelt berich­tet, gab es dabei wohl Probleme und Fehlentscheidungen, die einen weit­rei­chen­den Systemausfall und Datenverluste zur Folge hatten.

So for­dert die Stadt über die Webseite wohl nicht mehr wie­der­her­stell­ba­re Unterlagen und Informationen von den Kunden der Stadtwerke an.

dettelbach-teslacrypt

Die Kriminalpolizei Würzburg hat Ermittlungen wegen Erpressung aufgenommen.

Vorsicht: BKA Virus Warnung enthält Virus

Perfide wird der­zeit die Angst vor dem Krypto-Trojaner Locky aus­ge­nutzt, mel­det mimikama.at. Eine offi­zi­ell nach BKA als Absender aus­se­hen­de Email  warnt vor Locky und bie­tet zugleich ein ” BKA Locky Removal Tool” an. Startet man die­se EXE, wird das System mit einem Trojaner infi­ziert. Dieser soll­te glück­li­cher­wei­se von Virenscannern mit aktu­el­len Signaturen erkannt und ent­fernt werden.

Quelle: mimikama.at

Quelle: mimikama.at

Mimimaka.at hat den Wortlaut der Email eben­falls veröffentlicht:

Offizielle Warnung vor Computervirus Locky

Aufgrund wie­der­hol­ter Email mit Nachfragen wie man sich im Falle einer Infektion mit dem Computervirus „Locky“ zu ver­hal­ten hat, haben Wir uns dazu ent­schie­den in Kooperation mit Anti Virensoftware Herstellern einen Sicherheitsratgeber zu Verfügungzu stel­len in dem ihnen erklärt wird wie sie eine Infektion mit dem Virus ver­mei­den kön­nen und sich im Falle einer Infektion rich­tig zu ver­hal­ten haben. Sofern Sie noch nicht dar­über infor­miert wor­den sind was der Locky Virus anrich­tet haben wir für Sie alles noch ein­mal kurz zusam­men­ge­fasst. Bei dem Locky Virus han­delt es sich um einen soge­nann­ten Kryptolocker der gezielt wich­ti­ge Dateien auf ihrem Computer ver­schlüs­selt und für Sie unbrauch­bar macht. Die Dateien kön­nen Sie nur wie­der gegen eine Zahlung brauch­bar machen. Das Problematische an die­sem Virus besteht dar­in, dass es sich nicht um einen gewöhn­li­chen Virus han­delt und wir des­we­gen noch mit Hochdruck in Kooperation mit Anti Virenhersteller an einer Lösung arbei­ten um die­sen Virus zu ent­fer­nen Den oben erwähn­te Sicherheitsratgeber sowie ein eigen­hän­dig durch das Bundeskriminalamt ent­wickel­te Analyse Tool kön­nen Sie sich aus dem Anhang herunterladen
Mit freund­li­chen Grüßen

Steven Braun (IT Beauftragter)
Bundeskriminalamt
65173 Wiesbaden
Tel.: +49 (0)611 55 – 0
Fax: +49 (0)611 55 – 12141
E-Mail: impressum-bka-internetauftritt@nullbka.de