Ransomware kommt als Rechnung getarnt über Dropbox-Links

Ransomware wurde bisher vorwiegend über E-Mail-Anhänge verschickt, sei es als Rechnung, Mahnung, Bewerbung oder anderweitiges für den Empfänger vermeintlich wichtiges Dokument getarnt. Vor einer neuen Angriffsvariante mit Erpessersoftware haben jetzt die Experten des IT-Sicherheitsanbieters Trend Micro gewarnt. Die Kriminellen machen sich nun auch die zunehmende Verbreitung und Nutzung von Dropbox im Business-Umfeld zunutze und versuchen, Schadsoftware als Rechnung getarnt über Dropbox-Links auf Firmenrechner zu schleusen.

Trend Micro hat Dropbox vor Veröffentlichung der Informationen dazu über die Gefahr informiert. Laut Dropbox wurden inzwischen alle entdeckten bösartigen Dateien entfernt und die betroffenen Nutzerkonten gesperrt.

Das neue Problem ist hierzulande am größten: 36 Prozent der von Trend Micro im Beobachtungszeitraum vom 26. Februar bis 6. März 2017 gezählten 54.688 derartigen Spam-Nachrichten entfielen auf Nutzer in Deutschland. Laut Trend Micro wurden in Deutschland 815 Dropbox-Konten im Zuge der Malware-Kampagne missbraucht. Klicken Empfänger auf einen der Links, lösen sie die Infektion des genutzten Rechners mit der Erpressersoftware TorrentLocker aus.

„Cyberkriminelle folgen stets den Gewohnheiten der Anwender. Und je verbreiteter die Nutzung solcher Cloud Services ist, desto wahrscheinlicher missbrauchen Online-Gangster diese als neue Angriffswege. … Ganz nebenbei werden dabei die Sicherheitsmechanismen am Gateway überlistet, weil kein verdächtiger Anhang vorliegt, der Link von einer legitimen Domäne stammt und dieser zudem über das legitime SSL-Protokoll abgesichert ist“, erklärt Trend Micro in einer Pressemitteilung.

Das Unternehmen Netskope hatte schon im Herbst letzten Jahres vor einer neuen Variante der Ransomware Virlock gewarnt, sie sich über Cloud-Storage und Collaborations-Anwendungen in der Cloud ausbreiten kann. So könnten vor allem in Unternehmen infizierte Nutzer die Erpresserssoftware ungewollt im gesamten Netzwerk verbreiten.

Netskope nannte als Beispiel zwei Nutzer, die Zugriff auf den gemeinsamen Ordner eines Cloud-Speichers haben, dessen Inhalt automatisch mit ihren Rechnern synchronisiert wird. Fängt sich einer der beiden Virlock ein, werden dessen lokalen Dateien infiziert und anschließend mit der Cloud synchronisiert. Klickt der andere Anwender dann eine Datei in dem Ordner an, wird Virlock unter Umständen auch auf dessen System ausgeführt.

Trend Micro rät, wie auch auch andere IT-Sicherheitsanbieter, neben der Installation einer Sicherheitssoftware auch ein regelmäßiges Backup durchzuführen, um sich vor Erpressersoftware zu schützen. Anwender sollten dabei aber beachten, dass ausgefeilte Ransomware inzwischen auch Netzlaufwerke identifizieren und verschlüsseln kann. Trend Micro empfiehlt deshalb zur Datensicherung die 3-2-1-Regel: drei Kopien in zwei Formaten auf einem isolierten Medium. Zum Beispiel könnten wichtige Dateien erstens auf einem externen Speichermedium (externe Festplatte oder Stick) gespeichert, zweitens in der Cloud abgelegt und drittens auf eine CD gebrannt werden. Opfern von Erpressersoftware rät Trend Micro zu seinem Crypto-Ransomware File Decryptor Tool. Außerdem bieten auch weitere Hersteller sowie das von europäischen Polizeibehörden mitgetragene Projekt NoMoreRansom.org diverse kostenlose Tools für die Ransomware-Entschlüsselung.

[Mit Material von Peter Marwan, silicon.de]