Meldung

Raffinierte Ransomware im Umlauf

Eine raffinierte Verschlüsselungs-Ransomware namens "Sodin" greift auf eine Windows-Sicherheitslücke zurück, um erhöhte Berechtigungen in einem infizierten System zu erlangen. Des Weiteren nutzt sie die CPU-Architektur aus, um ihre Erkennung zu vermeiden, und infiziert Rechner ohne Nutzerinteraktion.
Ransomware, die Geräte oder Daten verschlüsselt oder sperrt und Lösegeld verlangt, ist eine ständige Cyberbedrohung für Privatanwender und Unternehmen. Die meisten Sicherheitslösungen erkennen bekannte Versionen und etablierte Angriffsmethoden. Die Sodin-Ransomware ist allerdings anspruchsvoller und nutzt laut Kaspersky [1] eine Windows-Sicherheitslücke (CVE-2018-8453) aus, um ihre Rechte auf dem betroffenen System auszuweiten.

Die Malware scheint Teil eines RaaS-Programms (Ransomware-as-a-Service) zu sein. Die Hintermänner, die den Schädling in Umlauf bringen, können dabei frei entscheiden, wie der Verschlüsseler in Umlauf gebracht werden soll. Es gibt Anzeichen dafür, dass die Malware über ein Partnerprogramm verbreitet wird. So haben die Malware-Entwickler eine Lücke in der Funktionalität hinterlassen, die es ihnen ermöglicht, Dateien zu entschlüsseln, ohne dass ihre Partner es wissen: eine Art Hauptschlüssel, der nicht den Schlüssel des Partners beziehungsweise Verteilers zur Entschlüsselung benötigt. Damit können die Entwickler Opferdaten entschlüsseln sowie die Verteilung der Ransomware kontrollieren, indem beispielsweise bestimmte Distributoren aus dem Partnerprogramm ausgeschlossen werden und die Malware unbrauchbar gemacht wird.

"Ransomware ist eine sehr beliebte Art von Malware, aber es kommt nicht oft vor, dass wir eine so ausgefeilte und hochentwickelte Version sehen", erklärt Fedor Sinitsyn, Sicherheitsforscher bei Kaspersky. "Die Verwendung der CPU-Architektur, um unter dem Radar zu fliegen, ist für Verschlüsseler keine gängige Praxis. Wir erwarten einen Anstieg der Angriffe durch Sodin, da die Menge an Ressourcen, die zum Erstellen solcher Malware erforderlich sind, erheblich ist. Diejenigen, die in die Entwicklung der Malware investiert haben, erwarten auf jeden Fall, dass sie sich bezahlt machen."

Sodin hatte bisher vor allem Opfer im asiatischen Raum im Visier: 17,6 Prozent der Angriffe wurden in Taiwan, 9,8 Prozent in Hongkong und 8,8 Prozent in der Republik Korea entdeckt. Es wurden jedoch auch Angriffe in Europa – darunter auch Deutschland und Italien -, Nordamerika und Lateinamerika beobachtet. Die Ransomware-Notiz, die auf infizierten PCs hinterlassen wird, verlangt von jedem Opfer Bitcoin im Wert von 2.500 US-Dollar für die Entschlüsselung.

Komplexe und hochentwickelte Ransomware


Ransomware erfordert normalerweise eine Form der Interaktion des Nutzers wie das Öffnen eines Anhangs in einer Mail oder das Anklicken eines schädlichen Link. Bei Sodin ist dies anders: Die Angreifer suchten sich anfällige Server und sendeten einen Befehl zum Herunterladen einer schädlichen Datei namens „radm.exe“, wodurch die Ransomware lokal gespeichert und ausgeführt wurde.

Sodin nutzt zudem die sogenannte "Heaven's Gate"-Technik, wodurch die Ransomware schwer zu erkennen ist. Mit dieser Technik kann ein schädliches Programm 64-Bit-Code aus einem laufenden 32-Bit-Prozess ausführen, was keine alltägliche Praxis ist und bei Ransomware nicht häufig vorkommt.

Die Forscher glauben, dass diese in Sodin aus zwei Hauptgründen verwendet wird: Einerseits, um die Analyse des Schadcodes zu erschweren. Der Grund: Nicht alle Debugger (Software zur Code-Analyse) unterstützen diese Technik und können sie daher nicht erkennen; andererseits um der Erkennung durch installierte Sicherheitslösungen zu entgehen. Die Technik wird verwendet, um die emulationsbasierte Erkennung zu umgehen. Hierbei handelt es sich um eine Methode zum Aufdecken zuvor unbekannter Bedrohungen, bei der Code in einer virtuellen Umgebung gestartet wird, die einem realen Computer ähnelt. So soll verdächtiges Verhalten einer Software aufgedeckt werden.
3.07.2019/dr

Tipps & Tools

Vielseitiger GPS-Tracker [20.07.2019]

Um verlorengegangene Gegenstände wiederzufinden, gibt es bereits viele Helfer. Besonders schlau geht dabei der "SpotyPal"-Tracker vor. Neben den klassischen Features wie Bluetooth und GPS für das Lokalisieren von Schlüsseln, Geldbörsen oder Gepäckstücken besitzt das Gadget zudem einen praktischen SOS-Button. Der kompakte Tracker lässt sich an fast alle Gegenstände problemlos anbringen und über eine App steuern und einrichten. [mehr]

Überall online [17.07.2019]

Wenn Sie das nächste Mal einen längeren Aufenthalt an einem Flughafen haben und schnell Internetzugriff benötigen, kann die Webseite "Wireless Passwords From Airports" weiterhelfen. Auf einer Google-Maps-Karte sehen Sie die Lage sämtlicher Flughäfen weltweit und im Menü die wichtigsten Informationen, um verfügbare WLAN-Hotspots vor Ort problemlos zu benutzen. [mehr]

Fachartikel

Was tun gegen Insider-Bedrohungen? [10.07.2019]

Nicht immer kommt nur Gutes aus den eigenen Reihen. Unternehmen, die sich zu sehr auf die Abwehr von externen Cyberangriffen konzentrieren, laufen Gefahr, die Bedrohungen von Innen zu unterschätzen – die Zahl der Datenschutzverletzungen durch interne Akteure steigt. Ein Grund dafür ist das Alles-oder-nichts-Prinzip, nach dem in vielen Systemen der Datenzugriff geregelt ist. Zudem benötigen für einen modernen Geschäftsbetrieb immer häufiger Außenstehende Zugriff auf Unternehmensdaten. Der Fachartikel beschreibt, wie sich die Risiken reduzieren lassen. [mehr]

Buchbesprechung

Anzeigen