SECURITY-THEMEN

Samsam könnte einen neuen Trend
bei gezielter Ransomware signalisieren

Eine neue Variante von Crypto-Ransomware könnte darauf hindeuten, dass Unternehmen verstärkt mit Malware, die ihre Dateien verschlüsselt, ins Visier genommen werden.

Anstieg bei Angriffen mit Ransomware

Das FBI (Federal Bureau of Investigation) warnte zusammen mit US-CERT und dem CCIRC (Canadian Cyber Incident Response Centre) vor einem Anstieg von Angriffen, bei denen Ransomware zum Einsatz kommt.

 

Im Februar 2016 wies Symantec auf das Aufkommen der Locky-Ransomware hin, eine der stärker verbreiteten Varianten von Erpressersoftware, die in Umlauf sind. In den letzten Monaten machte eine neue Variante – Samsam (auch als Samas oder Samsa bezeichnet) – durch ihr gezieltes Vorgehen bei der Infektion von Systemen Schlagzeilen.

Website-Sicherheit

Ransomware

Gezielte Ransomware

Die konventionellen Methoden, mit denen Ransomware Systeme infiziert, sind bösartige Downloadprogramme, die über Drive-by-Downloads und schädliche Spam-E-Mails verteilt werden. Sobald das System eines Benutzers mit einem bösartigen Downloader infiziert wurde, lädt dieses Programm zusätzliche Malware herunter, die häufig Crypto-Ransomware enthält. Die schädlichen E-Mails enthalten verschiedene Dateianhänge. Wenn diese geöffnet werden, laden sie eine der zahlreichen Ransomware-Varianten herunter und führen sie aus, um den Verschlüsselungsvorgang zu starten. Nachdem die Dateien verschlüsselt wurden, wird vom Opfer eine Lösegeldzahlung gefordert, um die Dateien wieder zu entschlüsseln.

Anders als bei eher konventioneller Ransomware wird Samsam nicht über Drive-by-Downloads oder E-Mails verteilt. Stattdessen setzen die Angreifer, die sich hinter Samsam verbergen, Tools wie Jexboss ein, um Server mit fehlenden Patches ausfindig zu machen, auf denen JBoss-Enterprise-Produkte von Red Hat laufen.

Sobald sich die Angreifer durch Ausnutzung von Sicherheitslücken in JBoss erfolgreich Zugang zu einem dieser Server verschafft haben, erfassen sie mithilfe frei verfügbarer Tools und Skripts Zugangsdaten und sammeln Informationen auf vernetzten Computern. Anschließend installieren sie ihre Ransomware, um Dateien auf diesen Systemen zu verschlüsseln, bevor sie Lösegeld fordern.

Die Samsam-Ransomware unterscheidet sich noch in einem weiteren Aspekt von anderer Erpressersoftware: Das RSA-Schlüsselpaar wird von den Angreifern selbst erzeugt. Die meiste Crypto-Ransomware kontaktiert einen Command-and-Control-Server, der ein RSA-Schlüsselpaar erzeugt und den öffentlichen Schlüssel zurücksendet, um Dateien auf den infizierten Computern zu verschlüsseln. Bei Samsam generieren die Angreifer das Schlüsselpaar und laden den öffentlichen Schlüssel zusammen mit der Ransomware auf die Zielcomputer.

Fortlaufende Innovationen bei Ransomware

Samsam ist eine von vielen in einer wachsenden Zahl von Ransomware-Varianten, doch was sie von anderen unterscheidet, ist die Art und Weise, wie sie über nicht mit Patches geschlossene Sicherheitslücken in Serversoftware ihre anvisierten Ziele erreicht. Wichtigster Kernpunkt ist hierbei der zunehmende Trend, dass Kriminelle Unternehmen mit Ransomware-Angriffen direkt ins Visier nehmen. Der Erfolg dieser jüngsten Angriffe deutet darauf hin, dass Cyberkriminelle neue Wege gehen, um ihren Profit zu steigern, indem sie anfällige Unternehmen anvisieren.

Ransomware hat sich als tragfähiges Geschäftsmodell erwiesen. Daher dürfte es kaum überraschen, dass sich die eingesetzten Techniken von bösartigem Spam und Drive-by-Downloads zu Methoden weiterentwickelt haben, die stärker gezielten Angriffen gleichen.

Versionen von JBoss

Unternehmen, die JBoss-Enterprise-Produkte in ihren Umgebungen bereitstellen, sollten ihre Systeme auf nicht gepatchte Versionen überprüfen und, falls vorhanden, umgehend die entsprechenden Patches installieren. Laut Red Hat sind folgende JBoss-Versionen sowie spätere Versionen nicht betroffen:

  • Red Hat JBoss Enterprise Application Platform (EAP) 5.0.1
  • Red Hat JBoss Enterprise Application Platform (EAP) 4.3 CP08
  • Red Hat JBoss Enterprise Application Platform (EAP) 4.2 CP09
  • Red Hat JBoss SOA-Platform (SOA-P) 5.0.1
  • Red Hat JBoss SOA-Platform (SOA-P) 4.3 CP03

 

Schutz
Produkte von Symantec und Norton schützen vor Samsam und den verschiedenen zugehörigen Tools, indem sie Folgendes erkennen:

Antivirus:

 

Testen Sie Ihre Website-Sicherheit

Symantec CryptoReport

Überprüfen Sie die Installation Ihres SSL/TLS-Zertifikats

TESTEN
Schwachstellenanalyse

Schwachstellenanalyse

Sicherheitslücken (auch als "Schwachstellen" bezeichnet) sind ein potenzielles Einfallstor, über das Bedrohungen die Funktionalität einer Website beeinträchtigen oder auf der Website vorhandene Daten beschädigen, herunterladen oder manipulieren können. Eine typische Website (selbst der einfachste Blog) kann Tausende potenzielle Sicherheitslücken aufweisen.

Weiterlesen

Was ist der Unterschied zwischen Viren, Würmern und Trojanern?

Was ist der Unterschied zwischen Viren, Würmern und Trojanern?

Der häufigste Fehler, den viele machen, wenn das Thema Computerviren aufkommt, ist, dass sie einen Wurm oder Trojaner als Virus bezeichnen.

Weiterlesen

Was sind Malware, Viren, Spyware und Cookies?

Was sind Malware, Viren, Spyware und Cookies und wie unterscheiden sie sich?

Bevor Sie etwas aus dem Internet herunterladen, sollten Sie sich zunächst sicher sein, was es ist. 

Weiterlesen

Community beitreten

Nehmen Sie an Security-Diskussionen auf Symantec Connect teil

SYMANTEC CONNECT

Folgen Sie Threat Intelligence auf Twitter @Threatintel

SYMANTEC ON TWITTER

Sehen Sie sich Videos auf dem Symantec Website Security YouTube-Kanal an.

SYMANTEC ON YOUTUBE