Ohne Klick: Ransomware per Website ausgeliefert
Ransomware ist vor allem in Europa nach wie vor eine der gefährlichsten Malware-Varianten. Doch es sieht so aus, als würden sich die Angriffsmethoden ihrer Entwickler allmählich verändern. Malwarebytes, US-Anbieter von Antivirensoftware, beschreibt in einem Blog-Beitrag eine Attacke mittels eines Drive-by-Downloads. Der Angriff führt die Besucher einer legitimen Website auf die Landing Site eines Exploit-Kits, wo sie mit einer Ransomware infiziert werden. Interessant ist, dass sämtliche verwendeten Werkzeuge bereits seit längerem bekannt sind. Neu bei diesem Angriff ist jedoch die Kombination, in der sie eingesetzt werden. Bislang verbreitete sich Ransomware beispielsweise per Phishing oder auch selbständig als Wurm.
Beim jetzt beobachteten Angriff unterwanderten die Hacker anfällige Websites mit iFrame-Injections und leiteten damit die Besucher auf die Landing Page des RIG Exploit-Kits um, das bereits seit etlichen Jahren in verschiedenen Versionen im Netz kursiert. Dort griffen sie auf mehrere bekannte Sicherheitslücken im Internet Explorer und Adobe Flash zurück, um die Computer mit der Ransomware Princess Locker oder kurz Princess zu infizieren. Auch diese Malware ist keine Unbekannte, sondern wurde bereits im Herbst 2016 erstmals beschrieben. Die Software verschlüsselt die Daten auf dem Computer und weist den Besitzer auf eine neu geschaffene Payment-Website hin, wo er eine Identifikationsnummer bekommt und ihm über Links eine Bezahlmöglichkeit gezeigt wird. Für den Betrag von 0,0770 Bitcoins, aktuell rund 220 Euro, kann er eine Entschlüsselungs-Software herunterladen, mit der er die Ransomware angeblich von seinem Rechner entfernen kann.
Perfide an dieser Angriffsmethode ist, dass der Anwender selbst keine Aktionen ausführen muss, um sich die Ransomware einzufangen. Wie für Drive-by-Downloads üblich, muss er ein Nutzer weder auf einen Link oder Dateianhang klicken, noch eine Taste betätigen. Alles geschieht automatisch im Hintergrund. Er kann sich allerdings schützen: Patches für die vom Exploit-Kit genutzten Schwachstellen im Internet Explorer und Adobe Flash stehen bereits seit rund zwei Jahren bereit.
Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.