Ransomware „Locky“ verbreitet sich über Word-Dokumente

Palo Alto Networks warnt vor einer neuer Ransomware namens „Locky“, die sich oftmals über per E-Mail verschickte Word-Dokumente verbreitet. Die angeblichen Rechnungen enthalten jedoch ein Makro. Wird es ausgeführt, gelangt Locky auf den Rechner. Eine ähnliche Technik nutzt auch die Banking-Malware Dridex, wie Computerworld berichtet.

Die Forscher von Palo Alto Networks vermuten, dass es aufgrund der ähnlichen Verbreitungswege Verbindungen zwischen den Hintermännern von Dridex und Locky gibt. Darauf sollen auch gefundene Dateinamen hinweisen, die bei beiden Kampagnen zum Einsatz gekommen sind.

Dem Bericht zufolge gibt es zudem Hinweise, dass es sich um einen größeren Angriff handelt. Locky selbst gelangt über den Makro-Downloader Bartallex auf das System eines Opfers. Von diesem Downloader wiederum entdeckte Palo Alto Networks mehr als 400.000 Sitzungen. Mehr als die Hälfte aller infizierten Systeme vermutet das Unternehmen in den USA. Außerdem seien Nutzer in Kanada und Australien betroffen.

Locky nutzt im Gegensatz zu anderer Ransomware seine eigenen Befehlsserver, um einen Schlüsselaustausch durchzuführen, bevor Locky Dateien verschlüsselt – was Palo Alto Networks als Schwachpunkt ansieht. „Das ist interessant, da die meiste Ransomware einen zufälligen Schlüssel lokal generiert und dann eine verschlüsselte Kopie davon an die Server des Angreifers überträgt“, heißt es weiter in einem Blogeintrag. „Daraus ergibt sich eine Strategie gegen diese Locky-Generation, indem man den zugehörigen Befehlsserver abschaltet.“

Der Sicherheitsforscher Kevin Beaumont weist darauf hin, dass von Locky verschlüsselte Dateien die Dateiendung „.locky“ erhalten. Ihm zufolge infiziert Locky derzeit bis zu fünf neue Rechner pro Sekunde. Deutschland liegt in seiner Statistik mit 5300 neuen Infektionen pro Stunde sogar an erster Stelle, vor den Niederlanden, den USA und Kroatien. Locky sei außerdem in der Lage, sich in Netzwerken zu verbreiten. Um die Verbreitung zu erhöhen, hätten die Hintermänner nach ersten Tests am Montag inzwischen die Ransomware auch in mehrere Sprachen übersetzt.

Ransomware, also Schadsoftware, die Dateien verschlüsselt, um ein Lösegeld zu erpressen, ist eine zunehmende Bedrohung. Bekannte Beispiele sind Cryptolocker und Simplocker. Hierzulande waren zuletzt auch Krankenhäuser betroffen. Das Lukaskrankenhaus in Neuss musste nach einer Infektion sein Netzwerk vollständig herunterfahren und sogar geplante Operationen verschieben.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de