Trojaner Locky ist zurück – sein neues Ziel: Krankenhäuser

Wer dieser Tage eine E-Mail mit Dateianhang bekommt, sollte diese noch kritischer beäugen als sonst: Der Verschlüsselungs-Trojaner „Locky“ verbreitet sich rasend schnell. Mit Ransomware wie dieser werden sensible Daten und Anwendungen der Opfer von Cyberkriminellen verschlüsselt und sind meist bis zur Zahlung eines Lösegelds nicht mehr zugänglich. Locky war bereits am Jahresanfang in aller Munde, hat im August 2016 seine Methode verändert. Und die gefährliche Ransomware hat sich spezialisiert, greift vorwiegend Krankenhäuser – insbesondere in den USA und Asien – an. Aber auch Deutschland steht weiterhin im Fokus des Trojaners.

Das Ganze funktioniert wie folgt: Anstatt Javascript-Anhängen enthalten die Spam-Mails der Hacker nun .docm-Dateien, also Makro-fähige .docx-Dokumente. Die Makros enthalten dabei einen Schadcode, der den Erpressungstrojaner auf das System des Opfers lädt. Die untenstehende Grafik zeigt deutlich die Zunahme der Locky-Mails mit .docm-Anhängen in diesem Monat.

FireEye-Analysen haben sich mit den Taktiken und Vorgehensweisen der Cyberkriminellen beschäftigt und konnten feststellen, dass Hacker heute deutlich vielfältigere Methoden wählen, um Systeme zu infizieren – wohl um so ihren Profit zu maximieren.

Eine weitere Erkenntnis ist, dass die Verbreitung der Banking-Malware Dridex nahezu gestoppt wurde. Das erklärt auch, warum nun vermehrt Angriffe durch den Erpressungs-Trojaner Locky zu verzeichnen sind.

Außerdem zeigen die Aufzeichnungen, dass zwischen den Makrocodes, die am 09., 11. und 15. August verwendet wurden, eine große Ähnlichkeit besteht. Sie ähneln sich vor allem in diesen Merkmalen:

  • Jede E-Mail-Kampagne hat einen spezifischen "one-off" Code, der verwendet wird, um den Ransomware Payload von bösartigen Malware-Servern (siehe Abbildung 4) zum Download bereit zu stellen.
  • Die bösartige URL, die innerhalb des Makrocodes eingebettet ist, nutzt die gleiche Verschlüsselungsfunktion, jedoch mit einem anderen Schlüssel für jede Kampagne. Jedes Zeichen wird durch Multiplikation seines ASCII-Codes mit einem bestimmten Code (eine ganze Zahl) verschlüsselt. Daher würde sein Dekoder eine Division unter Verwendung des angegebenen Integer (siehe URL Decoder in Abb. 4) durchführen.
  • Der heruntergeladene Payload ist mit einem 32 Byte großen Rolling XOR-Key verschlüsselt. Für jede Kampagne wird ein anderer Schlüssel verwendet. Rolling XOR wird wie folgt beschrieben:

Insgesamt lässt sich beobachten, dass die Werkzeuge und Techniken, die in den Locky-Mailkampagnen verwendet werden, sich ständig verändern. Der Wechsel zur Nutzung von Makros in .docm-Dateien statt einem Javescript-basierten Downloader ist nur ein Beispiel. Angriffe mit dem Banking-Trojaner Dridex, der ebenfalls von denselben Cyberkriminellen stammen soll, lassen beispielsweise derzeit nach. Es scheint, dass Erpressungstrojaner derzeit lukrativer sind für Cyberkriminelle als Banking-Malware und deshalb auch vermehrt von den Hackern verwendet wird.

Diese neuesten Kampagnen zeigen uns, dass Nutzer heutzutage besonders vorsichtig mit unbekannten Dateianhängen sein müssen. Denn das Öffnen auch von vermeintlich harmlosen Office-Dokumenten kann ernsthafte Folgen für den gesamten Geschäftsbetrieb nach sich ziehen.