Hades Locker: Neue Ransomware richtet sich an Hersteller und Dienstleistungsbetriebe in Westeuropa

Hades Locker wird Proofpoint zufolge über das gleiche Botnet wie die Ransomware-Varianten CryptFile2 und MarsJoke verbreitet. Die Opfer erhalten E-Mails mit darin enthaltenen URLs, die mit einem Microsoft-Word-Dokument verlinkt sind, das einen Namen nach dem Muster "levering-1478529.doc" trägt.

Die Forscher des IT-Sicherheitsanbieters Proofpoint haben jetzt Details zu einer von ihm Anfang Oktober entdeckten Ransomware-Kampagne präsentiert. Die Autoren der Schadsoftware nennen sie selbst „Hades Locker“ und verschickten sie in gezielten Kampagnen an Hersteller und Dienstleistungsbetriebe in Westeuropa.

Die Opfer bekamen E-Mails mit URLs, die mit einem Microsoft Word-Dokument verlinkt sind, das einen Namen nach dem Muster „levering-1478529.doc“ trägt. „Levering“ ist niederländisch und bedeutet „Lieferung“, die Zahlen dahinter variieren. Das Dokument wurde auf unterschiedlichen Websites mit neu registrierten Domänen gehostet.

Der Angriff mit „Hades Locker“ unterscheidet dadurch auch von den meisten anderen Ransomware-Kampagnen mit Word-Dokumenten: Normalerweise findet sich da die infizierte Datei im Anhang der E-Mail. Beispiel dafür aus der jüngeren Vergangenheit sind etwa „Locky“ und „MarsJoke“.

Die Zahlungsaufforderung der Ransomware “Hades Locker (Screenshot: Proofpoint)Die Zahlungsaufforderung der Ransomware “Hades Locker (Screenshot: Proofpoint)

Proofpoint entdeckte in anderen Punkten insbesondere mit „Locky“ jedoch zahlreiche Gemeinsamkeiten: „Hades Locker“ scheint eine Weiterentwicklung von „Zyklon Locker“ und „Wildfire Locker“ zu sein, die nach unserer Beobachtung früher in diesem Jahr dasselbe Botnet (Kelihos http://garwarner.blogspot.com/2016/07/kelihos-botnet-delivering-dutch.html) gesendet haben. Die erst kürzlich erfolgten CryptFile2– und MarsJoke-Kampagnen verwendeten ebenfalls dasselbe Spam-Sende-Botnet und ähnliche Verteilermethoden“, so die Proofpoint-Experten.

Dass in den Köder-E-Mails jeweils Themen angesprochen und vorgetäuscht wurden, in denen es um die Logistik ging, ist eine weitere Gemeinsamkeit. Allerdings wurden andere „Verteiler“ für den Versand verwendet: Während sich „CryptFile2“ und „MarsJoke“ vor allem an Behörden und Verwaltungseinrichtungen versandt wurden, erhalten im Zuge der „Hades Locker“-Kampagne vor allem Hersteller und Dienstleistungsbetriebe die gefährlichen E-Mails.

Die Kriminellen beschränken die zudem die Anzahl der versandten Mail auf lediglich wenige hundert, um einer Entdeckung zu entgehen. Wie viele andere Ransomware-Typen erstellt auch „Hades Locker“ mehrere Dateien in unterschiedlichen Formaten (.txt, .html und .png) mit Informationen zur Verschlüsselung und der Zahlungsaufforderung, und verteilt diese im Dateisystem. Verschlüsselte Dateien sind an Erweiterungen nach dem Muster .~HL233XP, .~HLJPK1L oder .~HL0XHSF erkennbar. Dabei sind nur die ersten vier Zeichen immer gleich, die übrigen fünf unterscheiden sich.

Wie groß das Problem mit Ransomware inzwischen auch im gewerblichen Bereich ist, zeigt der Zuspruch, den die Initiative NoMoreRansom kürzlich erfahren hat: Der von der niederländischen Polizei, Kaspersky und Intel Security vor drei Monaten in Zusammenarbeit mit Europol ins Leben gerufenen Initiative haben sich inzwischen bereits Organisationen aus 13 Ländern angeschlossen.

Neben Bosnien-Herzegowina, Bulgarien, Frankreich, Großbritannien, Irland, Italien, Kolumbien, Lettland, Litauen, Portugal, Spanien und Ungarn ist auch die Schweiz dabei, Deutschland und Österreich dagegen nicht. Im Wesentlichen bietet NoMoreRansom eine Anlaufstelle für Opfer von Ransomware: Sie finden dort Entschlüsselungstools und Informationen, wo und wie sie ihren Fall den Behörden melden und zur Anzeige bringen können. Aber auch Informationen zur Prävention stehen dort bereit.

ANZEIGE

Zuverlässiger Schutz vor Ransomware

Ransomware heißt das aktuelle Schreckgespenst in der IT-Welt. Ob Privatanwender, Unternehmen oder öffentliche Institution: Praktisch jeder Internetnutzer hat Angst davor, dass er plötzlich nicht mehr auf seine Daten zugreifen kann, da sie verschlüsselt sind. Dabei bieten aktuelle Sicherheitslösungen wie Bitdefender 2017 zuverlässig Schutz vor dieser Erpressungssoftware.

Themenseiten: Malware, Proofpoint, Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin ZDNet
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Hades Locker: Neue Ransomware richtet sich an Hersteller und Dienstleistungsbetriebe in Westeuropa

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *