Ransomware „Locky“ – Verbreitung via Word-Dokumente

(Bild: Shutterstock/Blue Island)

Eine neue Ransomware namens Locky ist unterwegs, warnt Palp Alto Networks. Diese verbreitet sich offenbar über Word-Dokumente.

Angebliche Rechnungen, die als Word-Dokumente verbreitet werden, enthalten ein gefährliches Makro. Wird dieses ausgeführt, so gelangt Locky auf den Rechner. Dieses Verhalten ähnelt sehr der bekannten Banking-Malware Dridex, so Computerworld. Auf Grund der ähnlichen Verbreitungswege vermuten Forscher des Plo Alto Networks Verbindungen zu den Hintermännern von Dridex. Ebenso deuten auch Dateinamen darauf hin, welche bei der Analyse der beiden Malware Kampagnen entdeckt wurden.

Lies auch: NEUESTER TROJANER VERÖFFENTLICHT DEINE PRIVATEN DATEN

Dem Bericht zufolge gibt es zudem Hinweise, dass es sich um einen größeren Angriff handelt. Locky selbst gelangt über den Makro-Downloader Bartallex auf das System eines Opfers. Von diesem Downloader wiederum entdeckte Palo Alto Networks mehr als 400.000 Sitzungen. Mehr als die Hälfte aller infizierten Systeme vermutet das Unternehmen in den USA. Außerdem seien Nutzer in Kanada und Australien betroffen.

Locky nutzt im Gegensatz zu anderer Ransomware seine eigenen Befehlsserver, um einen Schlüsselaustausch durchzuführen, bevor Locky Dateien verschlüsselt – was Palo Alto Networks als Schwachpunkt ansieht. „Das ist interessant, da die meiste Ransomware einen zufälligen Schlüssel lokal generiert und dann eine verschlüsselte Kopie davon an die Server des Angreifers überträgt“, heißt es weiter in einem Blogeintrag. „Daraus ergibt sich eine Strategie gegen diese Locky-Generation, indem man den zugehörigen Befehlsserver abschaltet.“

Lies auch: MEHRERE KRANKENHÄUSER IN NRW VON COMPUTERVIREN LAHM GELEGT

Der Sicherheitsforscher Kevin Beaumont weist darauf hin, dass von Locky verschlüsselte Dateien die Dateiendung „.locky“ erhalten. Ihm zufolge infiziert Locky derzeit bis zu fünf neue Rechner pro Sekunde. Deutschland liegt in seiner Statistik mit 5300 neuen Infektionen pro Stunde sogar an erster Stelle, vor den Niederlanden, den USA und Kroatien. Locky sei außerdem in der Lage, sich in Netzwerken zu verbreiten. Um die Verbreitung zu erhöhen, hätten die Hintermänner nach ersten Tests am Montag inzwischen die Ransomware auch in mehrere Sprachen übersetzt.

Ransomware, also Schadsoftware, die Dateien verschlüsselt, um ein Lösegeld zu erpressen, ist eine zunehmende Bedrohung. Bekannte Beispiele sind Cryptolocker und Simplocker. Hierzulande waren zuletzt auch Krankenhäuser betroffen. Das Lukaskrankenhaus in Neuss musste nach einer Infektion sein Netzwerk vollständig herunterfahren und sogar geplante Operationen verschieben.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising