Categories: SicherheitVirus

Malwarebytes: Exploit-Kits verbreiten Ransomware GandCrab

Cyberkriminelle testen offenbar neue Möglichkeiten zur Verteilung von Ransomware. Am 26. Januar entdeckte Malwarebytes erstmals eine neue Erpressersoftware namens GandCrab, die eine eigentlich nur von Trojanern und Krypto-Minern benutzte Taktik einsetzt: die Verbreitung per Exploit Kit. GandCrab setzt zudem auf zwei Exploit Kits: RIG EK und GrandSoft EK.

Exploit Kits werden benutzt, um bekannte oder auch ungepatchte Schwachstellen in Computersystemen anzugreifen und darüber Schadsoftware auszuführen. Ransomware bringen die Erpresser indes in der Regel mithilfe von Spam-E-Mails unters Volk. Bisher war laut Malwarebytes nur die Ransomware Magniber bekannt, die von diesem Muster abweicht und per Exploit Kit in Umlauf gebracht wird.

Lösegeldforderung der Ransomware GandCrab (Screenshot: Malwarebytes)Das RIG Exploit Kit greift Schwachstellen in Internet Explorer und Flash Player an, um JavaScript, Flash und VB-Skripte auszuführen und Schadsoftware einzuschleusen. Der Schadcode kann sich in schädlichen Werbeanzeigen auf kompromittierten Websites verstecken und so per Drive-by-Download auf ein System gelangen.

GrandSoft wiederum trat erstmals im Jahr 2012 in Erscheinung und nutzt eine Anfälligkeit in der Java Runtime Environment aus. Sie erlaubt das Einschleusen und Ausführen von Schadcode aus der Ferne – in diesem Fall für die Verteilung von GandCrab. Eigentlich war angenommen worden, dass Grandsoft nicht mehr aktiv ist.

Unabhängig davon, wie GandCrab auf ein System gelangt, verhält sich die Ransomware wie jede andere Erpressersoftware. Sie verschlüsselt Windows-Dateien mit einem RSA-Algorithmus und verlangt ein Lösegeld für den „GandCrab Decryptor“, der die Dateien entsperren soll. In einem Punkt unterscheidet sich GandCrab jedoch von anderer Ransomware: Das Lösegeld soll nicht in Bitcoin, sondern in der weniger verbreiteten Kryptowährung Dash bezahlt werden.

Die Forderung von 1,5 Dash soll den Erpressern zufolge 1200 Dollar entsprechen – wie bei anderen Kryptowährungen fluktuiert jedoch auch der Wechselkurs für Dash. Laut Coingecko entsprechen 1,5 Dash derzeit rund 835 Euro oder 1040 Dollar. Wird das Lösegeld nicht kurzfristig bezahlt, verdoppelt es sich auf 3 Dash.

Ein kostenloses Entschlüsselungstool ist für GandCrab nicht verfügbar. Trotzdem sollten Betroffene kein Lösegeld bezahlen, um keinen finanziellen Anreiz für die Hintermänner zu schaffen. Darüber hinaus kann nicht garantiert werden, dass die Cyberkriminellen nach Zahlung des Lösegelds tatsächlich das Entschlüsselungstool zur Verfügung stellen. Nutzer können sich zudem gegen Angriffe per Exploit Kit schützen, indem sie verfügbare Updates für Betriebssystem, Browser und Laufzeitumgebungen wie Flash und Java stets zeitnah aktualisieren. Zudem sollte als Vorsichtsmaßnahme die Ausführung von Flash und Java im Browser deaktiviert werden.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Gefahren im Foxit PDF-Reader

Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.

2 Tagen ago

Bitdefender entdeckt Sicherheitslücken in Überwachungskameras

Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.

2 Tagen ago

Top-Malware in Deutschland: CloudEye zurück an der Spitze

Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…

2 Tagen ago

Podcast: „Die Zero Trust-Architektur ist gekommen, um zu bleiben“

Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…

3 Tagen ago

Google schließt weitere Zero-Day-Lücke in Chrome

Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…

3 Tagen ago

Hacker greifen Zero-Day-Lücke in Windows mit Banking-Trojaner QakBot an

Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…

3 Tagen ago