Werden Locky und Dridex sich Ostern freinehmen?

Unsere Malwareanalysten bei Avira glauben, dass das Botnet das die Locky-Ransomware verteilt, Osterferien nehmen und deswegen in Europa über die Feiertage keine Phishing-Emails versenden wird.

Sollte dies der Fall sein, wird sich an der Verbreitungsrate zeigen, wie gut die Betreiber des Botnets sich auf regionale Feiertage einstellen können. Der 28. März ist in Europa größtenteils ein Feiertag, an dem fast alle Geschäfte geschlossen haben. In den Vereinigten Staaten ist dies jedoch nicht der Fall.

Die Strategie hinter dem Verschlüsselungstrojaner Locky sah bisher vor, pünktlich zu jedem neuen Wochenanfang neue Angriffsvektoren und Payload-Varianten unter die Leute zu bringen. Das Ergebnis ist, dass Angestellte, die nach dem Wochenende schnell durch die sich angesammelten Emails gehen wollen, ein besonders leichtes Ziel sind – schließlich haben die Medien die neue Payload-Variante zu diesem Zeitpunkt noch nicht aufgegriffen. Auf der Statistik  bezüglich der abgefangenen Phishing-Versuche kann man dies sehr gut erkennen: Pünktlich am Montag (7. März) wurde die erste Welle der Locky-Mails versandt.

Dridex on the weekend

„Wir rechnen mit einem sehr geringen Aufkommen von Locky-Mails am Montag, aber mit einem starken Anstieg der Phishing-Versuche für Dienstag, den 29. Das würde ein klares Signal im Hinblick auf die Anpassungsfähigkeiten des Botnets und seiner Strategie bezüglich der Verteilung der Mails setzen“, sagt Oscar Anduiza, Malware-Analyst bei Avira. „Während die Verbreitung während des Wochenendes zwar abnimmt, glauben wir, dass die Malware-Innovatoren sich nicht auf die faule Haut legen – wir werden 24 Stunden später, am Dienstag, sehen, was sie sich in dieser Zeit für uns ausgedacht haben.  Egal wie, wir bei Avira sind immer auf alles vorbereitet. Anwender sollten übrigens trotz des Wochenendes nicht einfach auf komisch anmutende Mails klicken.“

Der Verschlüsselungstrojaner Locky ist Anfang dieses Jahres ins Rampenlicht getreten.  Die Ransomware zielt allgemein auf Firmen und Organisationen ab, indem sie Mails verschickt, die wie Rechnungen von legitimen Firmen aussehen. Einmal geöffnet werden die Daten auf dem Computer verschlüsselt und die Dateierweiterung in „locky“ geändert. Das Lösegeld, das zur Freigabe der verschlüsselten Daten gefordert wird, fängt bei 0,5 Bitcoins (175 Euro) an und kann – wie im Fall eines Krankenhauses in den USA – bis zu 15,000 Euro betragen.

Locky wird über das Dridex-Botnet verbreitet. Während Dridex ursprünglich dafür bekannt war, Banking-Trojaner zu verbreiten, scheinen die Betreiber den Fokus nun auf das weitaus lukrativere Ransomware-Geschäft verlagert zu haben.

Dieser Artikel ist auch verfügbar in: Englisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.