Cryptodef und Cryptowall3

Ransomware entert Malware-Topliste

Mit Cryptodef und Cryptowall3 haben es zwei Ransomware-Vertreter in die aktuelle Schadcode-Hitliste von Check Point Software geschafft. Auf dem berüchtigten Angler-Exploit-Kit basiert dabei die Cryptowall-Variante.

Die Angriffe mit Cryptodef und Cryptowall3 sind im März 2016 deutlich gestiegen. Folgerichtig finden sich die beiden Erpresser-Schadcodes auch in Check Points Liste der zehn größten Malware-Bedrohungen. Keine Veränderung gab es bei den weltweit am häufigsten erkannten Schädlingen: Conficker wurde für rund 20 Prozent, Sality für 9,5 Prozent aller Attacken genutzt.

Cryptodef kompromittiert laut Check Point Software nicht-binäre Nutzerdaten. Sie verschlüsselt Dokumente, Textdateien, Bilder, Video und ähnliche Formate. Der Nutzer sieht nach einem Angriff eine Textnachricht, welche klarstellt, dass nur Bezahlung zur Entschlüsselung der befallenen Daten führt. Cryptodef wird über andere Schadsoftware wie Ceeinject installiert oder wird direkt nach dem Besuch von verseuchten Websites heruntergeladen.

Cryptowall3, die neueste Version des bekannten Verschlüsselungstrojaners, wurde bereits Anfang des Jahres zum ersten Mal gesichtet. Der Schadcode wurde dahingehend weiterentwickelt, dass er keine Verbindung mehr zum Tor-Netzwerk benötigt. Sein Command- and Control-Server ist nun auch über eine codierte URL erreichbar.

Das Erpresser-Tool löscht im Übrigen jetzt auch Schattenkopien, um eine Wiederherstellung bereits verschlüsselter Daten zu verhindern. Cryptowall3 basiert auf dem Angler Exploit Kit, vor dem sowohl das Bundesamt für Informationssicherheit (BSI) als auch Check Point bereits im März gewarnt haben. Aktuelle Angriffe lassen sich übrigens mithilfe der Threat Cloud verfolgen, die auch als Datenbasis dient.

Exploits Kits nutzen unbekannte Schwachstellen in Applikationen wie dem Flash-Player. Über JavaScripts andere Plug-Ins wird dann Schadcode an bestehenden Sicherheitsvorkehrungen vorbei auf das Endgerät übertragen. Global sieht Check Point auch eine Zunahme der Angriffe auf mobile Geräte. Für das meistgenutzte mobile Betriebssystem Android geht die größte Gefahr von drei Schädlingen aus:

  • Auf Platz eins hat sich die Malware HummingBad festgesetzt. Sie kann das Endgerät rooten und anschließend schädliche Apps installieren. Durch Key-Logger und ähnliche Spionage-Funktionen lassen sich Passwörter und Zugänge ausspionieren, um Sicherheitsmechanismen wie Verschlüsselung zu umgehen.
  • Ebenfalls standhaft auf dem zweiten Rang hält sich AndroRAT. Dieser Remote-Access-Trojaner kann sich auch in echten Apps einnisten, so dass der User ihn mitunter bereitwillig installiert. Der Angreifer kann anschließend das Device fernsteuern.
  • Auf den dritten Platz hievt sich Iop. Der Schädling versucht, sich Root-Zugriff zu verschaffen, um anschließend Werbeprogramme zu installieren. Die Unmengen an Ads machen eine normale Nutzung des Gerätes häufig unmöglich.

Autor: Stephan Augsten

(c)2016 Vogel Business Media

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.