Die 5 schlimmsten Passwortfehler

„Dummer Locky“: Hacker werden selbst zum Opfer

Es sieht so aus, als sei ein bedeutendes Netzwerk, über das die Ransomware Locky verteilt wurde, diesen Monat Opfer eines ganz ähnlichen Angriffs geworden.

Locky ist ein Verschlüsselungstrojaner, der Rechner infiziert, die darauf gespeicherten Dateien und personenbezogenen Daten verschlüsselt und anschließend Lösegeld von den Opfern erpresst. Wir haben in mehreren Blog-Artikeln darüber berichtet, zum Beispiel in diesem hier.

Die Verbreitung der Ransomware per E-Mail erfolgt auf relativ direktem Weg: Eine JavaScript-Datei wird im E-Mail-Anhang als Rechnung ausgegeben. Wenn sich der Empfänger täuschen lässt und auf die angehängte Datei klickt, um sie auszuführen, löst er damit die Infektion aus. Wie Benutzer durch Social Engineering dazu verleitet werden, Schadprogramme auszuführen, lässt sich an der folgenden Spear-Phishing-Mail gut veranschaulichen:

locky_stupid_01

Der JavaScript-Code im Anhang wird in der Regel verschleiert, sodass der Leser den tatsächlichen Dateiinhalt nicht sehen oder verstehen kann. Der JavaScript-Code enthält einen Domain-Generation-Algorithmus, der eine Verbindung mit dem Server der Hacker herstellt und die Ransomware Locky herunterlädt. Zudem bestimmt das Downloadprogramm den Speicherort der schädlichen Dateien im infizierten System und führt sie aus. In unserem Beispiel wurde die folgende URL generiert:

hxxp://cafeaparis.eu/f7****d

Doch anstelle der erwarteten Ransomware luden wir eine 12 Byte große Binärdatei mit einer Textnachricht herunter, die sich mit „Dummer Locky“ übersetzen lässt.

locky_stupid_02

Danach wurde die Ausführung abgebrochen, da die Datei keine gültige Struktur aufwies.

locky_stupid_03

Offenbar ist es jemandem gelungen, Zugriff auf einen der Command-and-Control-Server zu erlangen und die ursprüngliche Ransomware durch eine Attrappe zu ersetzen. Dummer Locky, in der Tat! Ich glaube nicht, dass Cyberkriminelle hinter dem Vorfall stecken, denn immerhin stehen ihr Ruf und ihre Einkommensquelle auf dem Spiel. Ich denke auch nicht, dass man Locky deswegen für tot erklären sollte. Schließlich wissen wir, dass die Hacker weiterhin aktiv sind und ihr Handwerk beherrschen. Doch die Vorfälle rund um Dridex und nun auch Locky haben gezeigt, dass selbst Cyberkriminelle, die Meister der Tarnung sind, Schwachstellen haben.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

Team Leader Virus Lab Disinfection Service