Spam-Welle: Neue Ransomware in deutschen Postfächern

Bösartige E-Mails mit „JavaScript“-Anhängen sollten sofort gelöscht werden

[datensicherheit.de, 30.01.2019] ESET warnt aktuell vor einer neuen Ransomware-Welle, die von Russland aus in Richtung Deutschland „übergeschwappt“ sei. Die Verbreitung der als „Shade“ oder „Troldesh“ bezeichneten Erpressersoftware erfolgt demnach per Spam-Mail.

Unternehmen ganz gezielt im Fokus der Angreifer

„Bereits von Oktober bis Mitte Dezember 2018 beobachteten wir eine Spam-Kampagne, die ,Shade‘ einsetzte. Seit Januar 2019 erleben wir wohl den Nachfolger“, berichtet Thomas Uhlemann, „Security Specialist“ bei ESET.
Neben Russland seien die Ukraine, Frankreich und nun auch Deutschland betroffen. Offensichtlich stünden Unternehmen ganz gezielt im Fokus der Angreifer:
„ESET-Telemetriedaten zeigen, dass die Angriffe exakt zu den Zeitpunkten pausieren, an denen Unternehmen ihre Arbeit reduzieren. Das war zum einen die Weihnachtszeit und zum anderen sind es die Wochenenden in der aktuellen Kampagne“, erläutert Uhlemann.

Erstmals im Jahr 2014 entdeckt

Die Spam-Mails seien nicht nur lästig, sondern hätten zudem die Ransomware namens „Shade“ (oder auch „Troldesh“) im Gepäck. Wer den „JavaScript“-Anhang unvorsichtigerweise anklickt, aktiviere ihn und lade sich ungewollt die Erpresser-Software auf den eigenen Rechner. Aktuell schwappe diese Welle von Russland aus in Richtung Deutschland.
Erstmals hätten Experten diese Verschlüsselungs-Malware im Jahr 2014 entdeckt, die seitdem immer wieder mal ab- und aufgetaucht sei. Die Ransomware sei imstande, eine Vielzahl an Dateitypen auf der Festplatte zu verschlüsseln. Die Opfer der Angriffe könnten dann nicht mehr auf ihre im Rechner gespeicherten Informationen zugreifen. Uhlemann: „Sie erhalten lediglich die von anderen Angriffen dieser Art bekannten Zahlungsanweisungen. Diese Aufforderungen sind in einer txt-Datei in Russisch und Englisch auf allen Laufwerken des betroffenen Computers abgelegt.“

Verbreitung per E-Mail sowie manipulierte „WordPress“-Seiten

In den Spam-Mails werde das „JavaScript“ als getarnter Anhang „Information“ versendet. „Einmal extrahiert, lädt das Script einen bösartigen Loader herunter, der von ESET-Produkten als ,Win32/Injector‘ erkannt wird. Das Perfide an der Methode ist die vermeintliche Quelle des sogenannten Loaders: Die Malware-Entwickler missbrauchen legitime ,WordPress‘-Webseiten als unfreiwillige Hosts“, warnt Uhlemann. Diese würden über massive Brute-Force-Angriffe von Bots gekapert und dienten dann als Speicher für mit Schadcode verseuchte Bilddateien.
ESET habe bereits Hunderte dieser Dateien im Internet entdeckt, die alle auf „ssj.jpg“ endeten. Um sich gegenüber dem Betriebssystem zu legitimieren, sei der Loader darüber hinaus mit einer vermeintlichen Signatur von Comodo versehen – dadurch werde seine Identifizierung im System erschwert.

Schadcode als Systemprozess getarnt

Um sich noch besser zu tarnen, gebe sich der Loader als legitimer Systemprozess „Client Server Runtime Process“ (csrss.exe) aus. Die Schadsoftware kopiere sich selbst in „C:\ProgramData\Windows\Windows\csrss.exe“, wobei „Windows“ hier ein versteckter, von der Malware selbst erstellter Ordner sei.
Dieser befinde sich normalerweise nicht im ProgramData-Verzeichnis. „Die Malware, die sich nun als Systemprozess ausgibt, verwendet Versionsdetails, die von einer legitimen ,Windows Server 2012‘-R2-Binärdatei kopiert wurden.“

Effektive Schutzmaßnahmen

Um nicht Opfer dieser neuen Ransomware-Welle zu werden, sollten Anwender immer die Authentizität von E-Mails prüfen, bevor sie Anhänge öffnen oder auf Links klicken. Für Gmail-Benutzer sei es nützlich zu wissen, dass Gmail „JavaScript“-Anhänge in empfangenen und gesendeten E-Mails bereits seit fast zwei Jahren blockiere.
Anwender könnten derartige Bedrohungen am besten durch einen zuverlässigen Malware-Schutz aussperren. Verschiedene Module, z.B. in ESET-Sicherheitsprodukten, würden unabhängig voneinander bösartige „JavaScript“-Dateien erkennen und blockieren.
Auch Betreiber von „WordPress“-Websites könnten einiges tun, um nicht von Cyber-Kriminellen für ihre Zwecke missbraucht zu werden. Neben dem Einsatz einer hochwertigen Sicherheitslösung sollte die Nutzung eines sicheren Passworts sowie einer Zwei-Faktor-Authentifizierung dazugehören. Außerdem sollten Website-Bbesitzer unbedingt sicherstellen, dass „WordPress“ selbst sowie „WordPress“-Plugins und -Designs regelmäßig aktualisiert werden.

Weitere Informationen zum Thema:

welivesecurity BY eset, Juraj Jánošík, 28.01.2019
Russland von neuer Ransomware-Welle getroffen / Der Januar 2019 verzeichnete einen dramatischen Anstieg schädlicher JavaScript-E-Mail-Anhänge…

datensicherheit.de, 27.01.2019
Ransomware-Angriffe: Warnung an Skilift- und Gondelbetreiber

datensicherheit.de, 23.01.2019
Anatova: Neue Ransomware-Familie entdeckt

datensicherheit.de, 11.12.2018
Sextortion: Erpressung und Ransomware-Angriff

datensicherheit.de, 10.12.2018
Dr. Shifro: Check Point deckt neues Ransomware-Geschäftsmodell auf

datensicherheit.de, 22.11.2018
Apple-Betriebssysteme: Ransomware-Angriffe steigen um 500 Prozent an