Ransomware ist vor allem in Europa nach wie vor eine der gefährlichsten Malware-Varianten. Doch es sieht so aus, als würden sich die Angriffsmethoden ihrer Entwickler allmählich verändern. Die amerikanische Firma Malwarebytes beschreibt in einem Blog-Beitrag eine Attacke mittels eines Drive-by-Downloads, der die Besucher einer Website auf die Landing Site eines Exploit-Kits führt, wo sie mit einer Ransomware infiziert werden. Interessant ist, dass sämtliche verwendeten Werkzeuge bereits seit längerem bekannt sind. Neu bei diesem Angriff ist jedoch die Kombination, in der sie eingesetzt werden.
Die Prinzessin mit dem Schlüssel rückt an
In einem ersten Schritt unterwanderten die Hacker anfällige Websites mit iFrame-Injections und leiteten damit die Besucher auf die Landing Page des RIG Exploit-Kits um, das bereits seit etlichen Jahren in verschiedenen Versionen im Netz kursiert. Dort griffen sie auf mehrere bekannte Sicherheitslücken im Internet Explorer und Adobe Flash zurück, um die Computer mit der Ransomware Princess Locker oder kurz Princess zu infizieren. Auch diese Malware ist keine Unbekannte, sondern wurde bereits im Herbst 2016 erstmals beschrieben. Die Software verschlüsselt die Daten auf dem Computer und weist den Besitzer auf eine neu geschaffene Payment-Website hin, wo er eine Identifikationsnummer bekommt und ihm über Links eine Bezahlmöglichkeit gezeigt wird. Für den Betrag von 0,0770 Bitcoins, aktuell rund 220 Euro, kann er eine Entschlüsselungs-Software herunterladen, mit der er die Ransomware angeblich von seinem Rechner entfernen kann.
Das Perfide an dieser Angriffsmethode ist, dass der Anwender selbst keine Aktionen ausführen muss, um sich die Ransomware einzufangen. Weder ist ein Klick auf einen Link oder einen Dateianhang nötig, noch ein Tastendruck. Alles geschieht automatisch im Hintergrund. Er kann sich allerdings schützen: Patches für die vom Exploit-Kit genutzten Schwachstellen im IE und Flash stehen bereits seit rund zwei Jahren bereit. Auch gegen andere Exploit Kits schützen Software-Updates, da die Angreifer für solche massenhaften Attacken so gut wie immer bereits bekannte Schwachstellen missbrauchen, für die es Patches gibt.
Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland.