Forcepoint registriert massive Ransomware-Attacke

Der Sicherheitsanbieter Forcepoint hat eine flächendeckende Kampagne beobachtet, die eine Ransomware namens Scarab verbreitet und damit Windows-Systeme gefährdet. Sie begann am frühen Morgen des 23. November und bediente sich des berüchtigten Botnets Necurs, um innerhalb weniger Stunden rund 12,5 Millionen E-Mails mit angehängter Malware zu übertragen.

Telemetrische Erhebungen ergaben, dass der Traffic mehrheitlich an Adressen mit der Top-Level-Domain (TLD) „.com“ ging. Dem folgten jedoch die Länder-TLDs für Großbritannien, Australien, Frankreich und Deutschland. Die Spam-Mails waren mit dem Betreff „Scanned from [Druckerhersteller]“ versehen – ähnlich wie schon bei früheren Locky-Ransomware-Kampagnen über Necurs. Sie enthielten einen 7zip-Anhang mit einem VBScript-Downloader.

Schon früher in diesem Jahr fiel ein Wiedererstarken des Botnetzes Necurs auf, das zuvor zusammen mit der Ransomware Locky vorübergehend von der Landkarte verschwunden war. Die aktuelle Kampagne erinnert Forcepoint Security Labs auch an die Ransomware Jaff. Diese wurde ebenfalls mit einer massiven Kampagne über das Necurs-Spam-Botnet verbreitet und veranlasste die Polizei Niedersachsen zu einer Warnung, da sie auch in Deutschland verteilt wurde.

Scarab ist eine relativ neue Ransomware-Familie, die im Juni entdeckt wurde. Bei der derzeitigen Kampagne kommt eine Variante zum Einsatz, die bei ihrer Ausführung eine Kopie als %Application Data%\sevnz.exe anfertigt und dann einen Registry-Eintrag für den Autostart erstellt. Scarab führt außerdem Befehle aus, um Recovery-Features von Windows auszuschalten.

Wenn die Schadsoftware mit der Verschlüsselung von Dateien beginnt, erweitert sie die Dateinamen um „.[suupport@protonmail.com].scarab“. Die falsche Schreibweise von „support“ ist vermutlich darauf zurückzuführen, dass beim Protonmail-Dienst die gewünschte E-Mail-Adresse schon vergeben war.

Wenn der Verschlüsselungsvorgang abgeschlossen ist, entfernt das Programm die ursprünglich angelegte Kopie von sich selbst. Die Erpresser fordern ihre Opfer sodann auf, über die genannte E-Mail-Adresse Kontakt mit ihnen aufzunehmen. Für den Fall, dass der Provider die Adresse während der anlaufenden Kampagne sperrt, geben sie in ihrer Lösegeldforderung eine weitere Kontaktmöglichkeit über BitMessage an.

Untypisch ist, dass die Ransomware-Hintermänner keinen Betrag für die Entschlüsselung der Daten beziffern. „Der Preis hängt davon ab, wie schnell Sie sich an uns wenden“, heißt es vielmehr in ihrem Erpresserschreiben, das die Malware nach ihrer Ausführung automatisch öffnet.

„Indem sie die Dienste großer Botnets wie Necurs in Anspruch nehmen, können auch kleinere Ransomware-Akteure wie die Hintermänner von Scarab massive Kampagnen mit globaler Reichweite fahren“, kommentieren die Sicherheitsforscher von Forcepoint in einem Blogeintrag. Noch sei unklar, ob es sich wie bei Jaff um eine vorübergehende Kampagne handelt. In jedem Fall sei auch 2018 mit Ransomware als einem „bedeutsamen Teil der Bedrohungslandschaft“ zu rechnen.