Forcepoint registriert massive Ransomware-Attacke

Innerhalb weniger Stunden werden rund 12,5 Millionen E-Mails mit angehängter Malware ausgesandt. Das wieder erstarkte Botnet Necurs ermöglicht die weltweite Kampagne. Die Erpresser verteilen eine Variante der relativ neuen Ransomware-Familie Scarab.

Der Sicherheitsanbieter Forcepoint hat eine flächendeckende Kampagne beobachtet, die eine Ransomware namens Scarab verbreitet und damit Windows-Systeme gefährdet. Sie begann am frühen Morgen des 23. November und bediente sich des berüchtigten Botnets Necurs, um innerhalb weniger Stunden rund 12,5 Millionen E-Mails mit angehängter Malware zu übertragen.

Ransomware (Bild: Shutterstock)

Telemetrische Erhebungen ergaben, dass der Traffic mehrheitlich an Adressen mit der Top-Level-Domain (TLD) „.com“ ging. Dem folgten jedoch die Länder-TLDs für Großbritannien, Australien, Frankreich und Deutschland. Die Spam-Mails waren mit dem Betreff „Scanned from [Druckerhersteller]“ versehen – ähnlich wie schon bei früheren Locky-Ransomware-Kampagnen über Necurs. Sie enthielten einen 7zip-Anhang mit einem VBScript-Downloader.

Schon früher in diesem Jahr fiel ein Wiedererstarken des Botnetzes Necurs auf, das zuvor zusammen mit der Ransomware Locky vorübergehend von der Landkarte verschwunden war. Die aktuelle Kampagne erinnert Forcepoint Security Labs auch an die Ransomware Jaff. Diese wurde ebenfalls mit einer massiven Kampagne über das Necurs-Spam-Botnet verbreitet und veranlasste die Polizei Niedersachsen zu einer Warnung, da sie auch in Deutschland verteilt wurde.

Die weltweite Kampagne zielte auch auf Länder-TLDs wie ".de" (Bild: Forcepoint).Die weltweite Kampagne zielte auch auf Länder-TLDs wie „.de“ (Bild: Forcepoint).

Scarab ist eine relativ neue Ransomware-Familie, die im Juni entdeckt wurde. Bei der derzeitigen Kampagne kommt eine Variante zum Einsatz, die bei ihrer Ausführung eine Kopie als %Application Data%\sevnz.exe anfertigt und dann einen Registry-Eintrag für den Autostart erstellt. Scarab führt außerdem Befehle aus, um Recovery-Features von Windows auszuschalten.

Wenn die Schadsoftware mit der Verschlüsselung von Dateien beginnt, erweitert sie die Dateinamen um „.[suupport@protonmail.com].scarab“. Die falsche Schreibweise von „support“ ist vermutlich darauf zurückzuführen, dass beim Protonmail-Dienst die gewünschte E-Mail-Adresse schon vergeben war.

Wenn der Verschlüsselungsvorgang abgeschlossen ist, entfernt das Programm die ursprünglich angelegte Kopie von sich selbst. Die Erpresser fordern ihre Opfer sodann auf, über die genannte E-Mail-Adresse Kontakt mit ihnen aufzunehmen. Für den Fall, dass der Provider die Adresse während der anlaufenden Kampagne sperrt, geben sie in ihrer Lösegeldforderung eine weitere Kontaktmöglichkeit über BitMessage an.

ANZEIGE

Aktuelle Studie zur Dokumentensicherheit in deutschen Büros

Eine aktuelle Statista-Umfrage (im Auftrag von KYOCERA Document Solutions) hat ergeben: Der deutsche Mittelstand hat Nachholbedarf beim Thema Dokumentensicherheit. Mehr als die Hälfte der befragten Mitarbeiter hat Zugriff auf Dokumente, die nicht für sie bestimmt sind. Weitere Infos und Tipps zur Optimierung erhalten Sie im gratis E-Book.

Untypisch ist, dass die Ransomware-Hintermänner keinen Betrag für die Entschlüsselung der Daten beziffern. „Der Preis hängt davon ab, wie schnell Sie sich an uns wenden“, heißt es vielmehr in ihrem Erpresserschreiben, das die Malware nach ihrer Ausführung automatisch öffnet.

„Indem sie die Dienste großer Botnets wie Necurs in Anspruch nehmen, können auch kleinere Ransomware-Akteure wie die Hintermänner von Scarab massive Kampagnen mit globaler Reichweite fahren“, kommentieren die Sicherheitsforscher von Forcepoint in einem Blogeintrag. Noch sei unklar, ob es sich wie bei Jaff um eine vorübergehende Kampagne handelt. In jedem Fall sei auch 2018 mit Ransomware als einem „bedeutsamen Teil der Bedrohungslandschaft“ zu rechnen.

Themenseiten: Malware, Ransomware, Security, Sicherheit, force

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Forcepoint registriert massive Ransomware-Attacke

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *