Woche 25

Was Sicherheitsexperten derzeit den Schlaf raubt

Uhr | Aktualisiert
von Coen Kaat

Fedpol warnt wieder vor Fedpol, Locky kehrt gestärkt zurück und das Nuclear Exploit Kit ist Geschichte. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

(Quelle: Pixabay / CC0 Public Domain)
(Quelle: Pixabay / CC0 Public Domain)

Das Bundesamt für Polizei (Fedpol) hat eine Warnung veröffentlicht. Eine Warnung vor sich selbst – sozusagen. Das Bundesamt erhielt diese Woche vermehrt Meldungen über eine Erpressungskampagne. Die Betroffenen erhalten jeweils eine E-Mail, deren Absender sich als Polizeibehörde ausgibt.

Man habe auf dem Rechner verbotenes pornographisches Material gefunden, heisst es in der Mail. Der Empfänger müsse nun eine Busse bezahlen. Das Geld solle über Moneygram oder Western Union überwiesen werden. Andernfalls würden die Kriminellen das Arbeitsumfeld und die Presse informieren. Die in der Mail zitierten Gesetzesartikel sind falsch, wie Fedpol mitteilt.

Fedpol empfiehlt Betroffenen, weder auf die E-Mails zu reagieren und noch die Bussen zu bezahlen. Stattdessen sollten sie das verdächtige Schreiben via Meldeformular an das Fedpol schicken. Betroffene können bei ihrer nächsten Polizeidienststelle Anzeige wegen versuchter Erpressung erstatten.

Das Muster ist bekannt. Vor einem Jahr verschickte Fedpol eine ähnliche Warnung. Damals kursierten Mails, die angeblich ebenfalls vom Bundesamt für Polizei stammten. Dabei handelte es sich jedoch um eine Malware-Kampagne und nicht um einen Erpressungsversuch.

Locky und Necurs schlagen zurück

Anfang Monat hatte Proofpoint verkündet, dass das Necurs-Botnetz deaktiviet worden war. Die Verteilung der Ransomware Locky und des Banking-Trojaners Dridex kam fast vollständig zum Erliegen. Die Sicherheitsexperten warnten bereits damals, sich nicht zu früh zu freuen. Sie behielten Recht.

Wie sie nun mitteilen, ist das Necurs-Botnetz wieder da. Am 21. Juni beobachteten die Analysten von Proofpoint die erste Locky-E-Mail-Kampagne seit Ende Mai. Mehrere Millionen Mails mit dem Schadprogramm wurden verschickt. Am Tag darauf folgte eine zweite, deutlich grössere Mail-Kampagne.

In Necurs' Abwesenheit erhielt Locky ein Update. In seiner neuen Version verfügt die Ransomware etwa über neue Möglichkeiten, Sandboxing zu entgehen. Beim Sandboxing wird Malware in einen isolierten Bereich geschleust, so dass sie keinen Schaden anrichten kann.

Die Attacken vom 21. und 22. Juni hatten gerade mal einen Zehntel des Umfangs früherer Mailkampagnen. Proofpoint hält dies aber für eine Aufwärmphase. Locky und Dridex sollen demnach bald wieder in voller Stärke zirkulieren.

Ransomware wie Locky befällt den Rechner und zeigt dem Nutzer einen Sperrbildschirm. Dieser behauptet, die privaten Daten verschlüsselt zu haben und diese erst gegen eine Verschlüsselung freizugeben.

Crypto-Ransomware breitet sich aus

Die Sicherheitsexperten von Kaspersky Lab haben weitere Zahlen zu Ransomware geliefert. Diese Woche haben sie ihren Ransomware Research Report veröffentlicht. Demnach waren im vergangenen Jahr (April 2015 bis März 2016) über 2,3 Millionen Nutzer von derartigen Schadprogrammen betroffen.

Kaspersky unterscheidet zwischen Ransomware und Crypto-Ransomware. Denn in vielen Fällen ist die Verschlüsselung nur vorgegaukelt und lediglich der Bildschirm gesperrt. Im letzten Jahr waren es mehr als 1,8 Millionen. Doch das Verhältnis verschob sich im letzten Jahr dramatisch.

Die Fälle von Crypto-Ransomware, die die Daten tatsächlich verschlüsseln, nahmen um mehr als das Fünffache zu. Im letzten Jahr stieg die Anzahl folglich auf 718'536 – fast ein Drittel aller Ransomware-Attacken. Diese Attacken richteten sich vor allem gegen Nutzer in den Vereinigten Staaten, Deutschland und Italien.

Oft sei eine Lösegeldzahlung die einzige Möglichkeit, wieder an seine Daten zu kommen, lässt sich Fedor Sinitsyn, Senior Malware Analyst bei Kaspersky zitieren. Opfer würden daher dazu neigen, das Geld zu zahlen. Ein lohnendes Geschäftsmodell für die Kriminellen. Kaspersky findet auch fast täglich neue Varianten.

Und Checkpoint feiert einen Erfolg

Im April hatte Checkpoint dem Nuclear Exploit Kit unter den Rock geschaut. Die Sicherheitsexperten veröffentlichten einen mehrteiligen Bericht über das Tool. Mit dem Kit können Kriminelle eine Vielzahl von Attacken auslösen. Ausser Exploits bietet das Tool auch die Möglichkeit, Ransom- und andere Formen von Malware auszurollen.

Wie Checkpoint nun mitteilt, verschwand die Infrastruktur hinter dem Tool wenige Tage nach der Veröffentlichung des Berichts. Die Server schweigen seit dem 30. April. Symantec bestätigt dies. Im April hatte Nuclear die Liste der meistverwendeten Toolkits angeführt. Im Mai verschwand es aus den Top 5.

Checkpoint und Symantec vermuten, dass der Bericht für den Fall von Nuclear verantwortlich ist. Checkpoint werde aber weiterhin ein wachsames Auge offenhalten – sollte das Tool sich wieder zurück melden.

Die ausführlichen Berichte zum Nuclear Exploit Kit können Interessierte online lesen:

Webcode
8828