beebright - stock.adobe.com
Wie verändern Botnetze die Bedrohung durch Ransomware?
Botnetze führen nicht nur DDoS-Attacken aus, sie verteilen auch Ransomware. Das erhöht die Bedrohung für Unternehmen, da es Angreifern die Distribution von Malware erleichtert.
Sicherheitsforscher in den Forcepoint Security Labs haben Ende 2017 beobachtet, wie die Scarab-Ransomware mit Hilfe des Necurs-Botnetz verbreitet wurde. Wie verändern Botnetze die Bedrohung durch Ransomware und wie können Unternehmen darauf reagieren?
Längst sind Botnetze ein fester Bestandteil der Infrastruktur von Cyberkriminellen geworden. Die Angreifer nutzen diese für Spam-Attacken, Phishing oder auch DDoS-Angriffe (Distributed Denial-of-Service). Mancherorts werden Botnetze bereits als eine Art Cloud-Hosting-Plattform für Cyberkriminelle betrachtet.
Botnetze lassen sich auf höchst unterschiedliche Weise für Angriffe nutzen. Diese einzelnen Aspekte werden oft an Personen ausgelagert, die sich genau auf diesen einen Aspekt spezialisiert haben. Das reicht von der Rekrutierung der einzelnen Bots bis hin zur Geldwäsche nach erfolgtem Angriff. Dadurch werden die einzelnen Teile eines Angriffs weitgehend voneinander isoliert. Der eigentliche Angreifer benötigt nicht mehr selbt die technischen Fähigkeiten, um einen Angriff durchführen zu können, er muss lediglich die unterschiedlichen Disziplinen koordinieren. Ein bekanntes Botnet, dass zur Verteilung von Ransomware genutzt wurde, ist Necurs.
Necurs kümmert sich nach wie vor um die Verteilung der sehr bekannten Ransomware Locky und anderer Malware. Und vor einiger Zeit distribuierte das Botnet Necurs auch die eingangs erwähnte Ransomware Scarab. Wie Forcepoint feststellt, ist diese Ransomware der Jaff-Ransomware nicht unähnlich. Die Opfer erhalten eine E-Mail-Nachricht, die wie der erhaltene Scan-Auftrag von einem Multifunktionsgerät aussieht. Der angefügte ZIP-Anhang enthält einen VBScript-Downloader. Die Ransomware selbst verschlüsselt Dateien und setzt Windows-Recovery-Funktionen außer Kraft. So sollen Nutzer dazu bewegt werden, das Lösegeld zu bezahlen, um wieder auf ihre Daten zugreifen zu können. Durch die Verwendung von Botnetzen zur Verteilung der Schadsoftware sind Cyberkriminelle relativ leicht in der Lage, großflächige Angriffe zu fahren.
Unternehmen sollten selbstredend über einen Malware-Schutz in ihrem E-Mail-System verfügen und inzwischen auch spezielle Abwehrmaßnahmen gegen Ransomware implementiert haben. Es klingt wie eine Selbstverständlichkeit, ist es aber in der Tat nicht: Anwender wie Unternehmen sollten darüber hinaus wichtige Daten sichern. Dies ist immer noch der wirksamste Weg, um sich vor Ransomware oder Ausfällen zu schützen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!