2016-09-16 13:00:53

Trojaner Locky nun mit Autopilot

Sicherheitsforschern zufolge kann Locky sein Schadenswerk jetzt auch offline ohne Kontakt zum Command-and-Control-Server der Kriminellen verrichten.

Die Ransomware Locky hat dazugelernt und kann nun auch Daten auf Windows-Computern verschlüsseln, die nicht an das Internet angebunden sind, erläutern Sicherheitsforscher von Avira. In vorigen Versionen konnte der Schädling auf Offline-Systemen nichts ausrichten, da die Drahtzieher die Verschlüsselung erst über einen vom Command-and-Control-Server (C&C) aus gesendeten Befehl anstoßen konnten.

Der neue Ansatz bringt zudem mit sich, dass Locky für Offline-Opfer keine individuellen RSA-Schlüssel (Public Key) für die Verschlüsselung erzeugt. In der Vergangenheit wurde der für die Entschlüsselung benötigte geheime Schlüssel außer der Reichweite der Opfer auf dem C&C-Server verwahrt. Wo sich dieser nun befindet, ist derzeit nicht bekannt.

Nicht nur Vorteile

Ohne C&C-Server können die Kriminellen noch besser im Verborgenen arbeiten, schließlich benötigen sie keine kostenintensive Server-Infrastruktur mehr, deren Standort sie verschleiern müssen. Für die Bezahlung des Lösegelds setzt Locky aber weiterhin auf URLs, die auf Hidden Services in das anonymisierte Tor-Netzwerk verweisen.

Strafverfolgungsbehörden haben ohne C&C-Server noch weniger Ansatzpunkte für Ermittlungen. Doch die Umstellung bringt nicht nur Vorteile für die Kriminellen mit sich und sie müssen auf Infektions-Statistiken der C&C-Server verzichten.

Neuer Loader

In der Regel versuchen Kriminelle Opfer mit gefälschten E-Mails dazu zu bringen, den Datei-Anhang dieser Mails zu öffnen, um so eine Infektion einzuleiten. Doch im Anhang befindet sich nicht direkt der Schädling, sondern ein Office-Dokument mit Makro-Code oder ein Skript, das nach dem Öffnen den Schädling auf den Computer holt. Dafür kommen sogenannte Loader zum Einsatz.

Neuerdings soll Locky über den Quant Loader auf Computer gelangen, berichten Sicherheitsforscher von Forcepoint. Der Loader werde in russischen Untergrund-Foren zum Verkauf angeboten und wirbt neben dem Download von Schädlingen unter anderem auch mit der Möglichkeit, Nutzer-Rechte erhöhen zu können. Letzteres können die Sicherheitsforscher aber nicht bestätigen.

Zudem lockt der Anbieter damit, dass der Quant Loader von Grund auf neu entwickelt wurde und sich effektiv vor Viren-Wächtern verstecken kann. Einer Analyse von Forcepoint zufolge ist das aber nicht der Fall und der Quant Loader baut auf dem Code des Madness DDoS Systems auf, das bereits von vielen Viren-Wächtern erkannt wird. (des)

 

 

Quelle: heise.de

bewusstsicher grey

Mit dem bewusstsicher Mitarbeiterportal bleiben Sie immer informiert!


Security & Awareness Experten GmbH
Splieterstr. 25 b
48231 Warendorf

Tel: 02581 98 84 790
Mail: info@awareness-experte.de

Themenwelten

passwortsicherheit

Passwortsicherheit

Alles über die Passwortsicherheit

phishing

Pishing

Was ist Phishing und wie gehen Social Engineerer vor?

cleandesk

Clean Desk

Produktiver werden durch Clean Desk Policy

onlinebanking

Online-Banking

Seien Sie vorsichtig beim Online-Banking

wlan

WLAN

Über die Gefahren beim WLAN

emails

E-Mail

Alles rund um das Thema E-Mail