Malwarebytes: Exploit-Kits verbreiten Ransomware GandCrab

Sie nutzt die Exploit Kits RIG und GrandSoft. Letzteres galt eigentlich als inaktiv. Die Exploit Kits greifen Schwachstellen in Internet Explorer, Flash Player und Java an. Die Hintermänner verlangen ein Lösegeld von umgerechnet rund 835 Euro – zahlbar in der Kryptowährung Dash.

Cyberkriminelle testen offenbar neue Möglichkeiten zur Verteilung von Ransomware. Am 26. Januar entdeckte Malwarebytes erstmals eine neue Erpressersoftware namens GandCrab, die eine eigentlich nur von Trojanern und Krypto-Minern benutzte Taktik einsetzt: die Verbreitung per Exploit Kit. GandCrab setzt zudem auf zwei Exploit Kits: RIG EK und GrandSoft EK.

Exploit Kits werden benutzt, um bekannte oder auch ungepatchte Schwachstellen in Computersystemen anzugreifen und darüber Schadsoftware auszuführen. Ransomware bringen die Erpresser indes in der Regel mithilfe von Spam-E-Mails unters Volk. Bisher war laut Malwarebytes nur die Ransomware Magniber bekannt, die von diesem Muster abweicht und per Exploit Kit in Umlauf gebracht wird.

Lösegeldforderung der Ransomware GandCrab (Screenshot: Malwarebytes)Lösegeldforderung der Ransomware GandCrab (Screenshot: Malwarebytes)Das RIG Exploit Kit greift Schwachstellen in Internet Explorer und Flash Player an, um JavaScript, Flash und VB-Skripte auszuführen und Schadsoftware einzuschleusen. Der Schadcode kann sich in schädlichen Werbeanzeigen auf kompromittierten Websites verstecken und so per Drive-by-Download auf ein System gelangen.

GrandSoft wiederum trat erstmals im Jahr 2012 in Erscheinung und nutzt eine Anfälligkeit in der Java Runtime Environment aus. Sie erlaubt das Einschleusen und Ausführen von Schadcode aus der Ferne – in diesem Fall für die Verteilung von GandCrab. Eigentlich war angenommen worden, dass Grandsoft nicht mehr aktiv ist.

Unabhängig davon, wie GandCrab auf ein System gelangt, verhält sich die Ransomware wie jede andere Erpressersoftware. Sie verschlüsselt Windows-Dateien mit einem RSA-Algorithmus und verlangt ein Lösegeld für den „GandCrab Decryptor“, der die Dateien entsperren soll. In einem Punkt unterscheidet sich GandCrab jedoch von anderer Ransomware: Das Lösegeld soll nicht in Bitcoin, sondern in der weniger verbreiteten Kryptowährung Dash bezahlt werden.

Die Forderung von 1,5 Dash soll den Erpressern zufolge 1200 Dollar entsprechen – wie bei anderen Kryptowährungen fluktuiert jedoch auch der Wechselkurs für Dash. Laut Coingecko entsprechen 1,5 Dash derzeit rund 835 Euro oder 1040 Dollar. Wird das Lösegeld nicht kurzfristig bezahlt, verdoppelt es sich auf 3 Dash.

Ein kostenloses Entschlüsselungstool ist für GandCrab nicht verfügbar. Trotzdem sollten Betroffene kein Lösegeld bezahlen, um keinen finanziellen Anreiz für die Hintermänner zu schaffen. Darüber hinaus kann nicht garantiert werden, dass die Cyberkriminellen nach Zahlung des Lösegelds tatsächlich das Entschlüsselungstool zur Verfügung stellen. Nutzer können sich zudem gegen Angriffe per Exploit Kit schützen, indem sie verfügbare Updates für Betriebssystem, Browser und Laufzeitumgebungen wie Flash und Java stets zeitnah aktualisieren. Zudem sollte als Vorsichtsmaßnahme die Ausführung von Flash und Java im Browser deaktiviert werden.

HIGHLIGHT

Report: Entwicklung der Cloud-Nutzung

McAfee befragte im Rahmen der jährlichen Forschungsstudie zur Cloud-Sicherheit und der Migration zur Cloud mehr als 1.400 IT-Experten. Dieser Bericht zeigt den Stand der Dinge bei Cloud-Sicherheit auf und bietet praktische Hinweise. Jetzt herunterladen!

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Malware, Malwarebytes, Ransomware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Malwarebytes: Exploit-Kits verbreiten Ransomware GandCrab

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *