- Anzeigen -

Locky tauchte bereits Mitte Februar in Mails auf


Am 16. Februar sind die Forscher des IT-Security-Experten Proofpoint zum ersten Mal auf einen Anhang gestoßen, in dem sich die Ransomware Locky verbarg
Das Botnet, das den Spam verschickt, ist dasselbe, das den Banking-Trojaner Dridex in Umlauf brachte.

Anzeige

(08.04.16) - Forscher von Proofpoint haben den Erpressungstrojaner "Locky" bereits am 16. Februar entdeckt, der durch seine Anhänge Rechner verseucht und Nutzer erpresst, wie sie im Corporate Blog beschreiben. Eine Nachricht mit dem Betreff "ATTN: Invoice J-12345678" enthielt den Anhang "invoice_J-12345678.doc" enthielt ein MS Word-Dokument mit einem Makro, das den Erpressungstrojaner Locky herunterlädt und installiert. Öffnet der Benutzer das Dokument, wird sein Rechner infiziert, wenn in Word standardmäßig Makros freigeschaltet sind.

Locky verschlüsselt die Dateien auf dem Rechner und im Netz und nutzt Notepad, um als Desktop-Hintergrund eine Erpressungsnachricht anzuzeigen. Diese verlangt vom Benutzer, Bitcoins zu kaufen, damit er seine Daten wieder entschlüsseln kann. Zurzeit ist kein Fall bekannt, in dem nach Zahlung tatsächlich der Schlüssel geliefert wurde.

Spam
Locky wird über Spam mit angehängten Dokumenten in Umlauf gebracht, was bei den Malware-Kampagnen des letzten Jahres die gängigste Methode war. Das Botnet (eine Gruppe infizierter Rechner, auf denen ein Spambot läuft), das den Spam verschickt, ist dasselbe, das den Großteil der Nachrichten verschickt, die den Banking-Trojaner Dridex im Schlepp haben. (Proofpoint: ra)

Proofpoint: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

 
Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

"Global Security Report": Ransomware und kein Ende Die Ergebnisse des "Global Security Report" von AppRiver verzeichnen auch im dritten Quartal des laufenden Jahres einen weiteren Anstieg beim Malware-Aufkommen. Zum vierten Mal in Folge. Zwar haben sich die populärsten Dateitypen verändert, treu geblieben ist uns aber auch in diesem Quartal die Ransomware. Sie macht nach wie vor einen Großteil des Malware-Traffics aus. Wann Ransomware zu einem der Hauptgesprächsthemen in der IT-Sicherheit geworden ist, lässt sich zeitlich sehr gut fest machen. 2013 tauchte CryptoLocker in den Schlagzeilen auf und machte aufgrund seiner Verbreitungsdynamik rasch Karriere und mit ihm der Begriff. Dabei war CryptoLocker bei weitem nicht die erste Ransomware. Aber das schiere Volumen dieses neuerlichen Angriffs und nicht zuletzt der enorme Profit, den die Angreifer aus der Attacke schlagen konnten, katapultierte Ransomware in eine andere Liga.

Facelift für das Exploit-Kit RIG Wer mit einem Exploit-Kit richtig Geld verdienen will, muss dieses ständig verändern. Dass dachten sich wahrscheinlich auch die Entwickler des RIG Exploit-Kits. Forscher des Trustwave SpiderLabs haben herausgefunden, dass das Exploit-Kit RIG jetzt anscheinend mit einem neuen Service, der die Enttarnung noch schwieriger macht, angeboten wird. Die Chancen, dass das RIG Exploit-Kit ähnlich populär wie Angler wird, stehen gut. Ein Exploit-Kit ist eine Art Hacking-Box für Kleinkriminelle, über die sich Schadprogramme über Webangriffe bequem verteilen lassen. Im Regelfall lassen sich diese Exploit-Kits ohne technisches Wissen bedienen. Exploit-Kits werden im Darknet verkauft oder vermietet und können ihren Entwicklern Gewinne im Millionenbereich bescheren.

Typische Angriffsziele der Phishing-Kampagnen Forscher von Eset legen ihren neuesten Forschungsbericht über die berüchtigte Cyber-Spionagegruppe Sednit vor. Diese attackierte in den vergangenen Jahren über 1.000 hochkarätige Einzelpersonen aus der Osteuropäischen Politik mit Phishing-Versuchen und Zero-Day-Exploits, um an vertrauliche Dokumente zu gelangen. Die berüchtigten Cyber-Kriminellen von Sednit - auch bekannt unter den Pseudonymen APT 28, Fancy Bear, Pawn Storm oder Sofacy - sind seit mindestens 2004 in kriminellen Aktivitäten involviert. Sie entwickelten ein eigenes Exploit-Kit und eine überraschend hohe Anzahl an Zero-Day-Exploits, um die Sicherheitsvorkehrungen von Unternehmen und Personen zu umgehen. Eset-Forscher haben die Aktivitäten der Sednit-Gruppe in den vergangenen zwei Jahren aktiv untersucht und ihre Ergebnisse in einem ausführlichen, dreiteiligen Forschungspapier zusammengefasst, das in den kommenden Wochen in drei Teilen veröffentlicht wird.

Warum ist Zeus gefährlich? Bereits 2011 hat der Zeus-Banking-Trojaner mehr als 100 Millionen US-Dollar von amerikanischen Bankkunden erpresst. Jetzt ist er mit einer Neuauflage zurück und attackiert Kanada. Auch für deutsche Banken, Behörden, Unternehmen und ihre Kunden kann Zeus gefährlich werden. Getarnt als offizielles Anschreiben der eigenen Bank informiert die individualisierte Spoofing-Mail über angebliche Kontodefizite oder die Ausschöpfung von Steuerfreibeträgen.

Mammutaufgabe IT-Sicherheitsmanagement Aktuell im Feuer der Ransomware: Personalabteilungen von Unternehmen aller Branchen genauso wie öffentliche Institutionen, allem voran - erneut - Krankenhäuser. Verbreitet wird eine zweistufige Schadsoftware, die mit Hilfe des Trojaners "Betabot" Zugangsdaten und Passwörter entwendet und dann mit der Ransomware "Cerber" sämtliche Daten verschlüsselt, um Lösegeld zu erpressen. Sie versteckt sich in Anhängen und Links von täuschend echt wirkenden Bewerber-E-Mails.

Autor / Quelle (abcd) der Beiträge siehe Angabe in Klammern vor Doppelpukt: (abcd:)