c't 15/2016
S. 30
News
Sicherheit

Erpressungs-Trojaner Locky kehrt zurück

Die Ransomware Locky ist zurück und nimmt abermals Daten als Geiseln, um Lösegeld einzufordern. Darauf stießen Sicherheitsforscher von Proofpoint, als sie Aktivitäten des Necurs-Botnetzes analysierten. Es wurde genutzt, um Locky in großem Stil zu verteilen. Der Verbreitungsweg ist nicht neu; Locky versucht vornehmlich über gefälschte Rechnungs-E-Mails Computer zu infizieren. Die Sicherheitsforscher sprechen von „Millionen von E-Mails“. Das BSI-Notfallteam CERT-Bund unterstützt diese Aussage. So hat es in jüngster Vergangenheit ein stark erhöhtes Aufkommen von Locky gemessen. Im April war der Schädling dem CERT-Bund zufolge in der Versenkung verschwunden. Anfang des Jahres soll Locky in Deutschland über 5000 Computer pro Stunde infiziert haben.

Die neue Locky-Version hat dazugelernt: Proofpoint zufolge kann sich Locky nun besser verstecken. Der Erpressungs-Trojaner erkenne jetzt, ob er in einer virtuellen Maschine läuft, und kann sich dann beenden, um eine Analyse zu erschweren.

Darüber hinaus entdeckten die Sicherheitsforscher von Proofpoint einen Abkömmling von Locky: Bart. Hinter dem Schädling vermuten sie dieselben Drahtzieher. Bart weise eine ähnliche Erpresser-Botschaft und Zahlungs-Webseite auf. Bei der Verschlüsselung setzt die Ransomware aber nicht wie viele andere Erpressungs-Trojaner auf AES, sondern sperrt Daten in passwortgeschützte Zip-Archive ein. Als Lösegeld verlangt Bart nicht die gängigen 0,5 Bitcoin (rund 300 Euro), sondern drei Bitcoin (etwa 1700 Euro). (des@ct.de)

Symantec-und-Norton-AV-Produkte gefährdet

In nahezu allen Antiviren-Anwendungen von Symantec klaffen sieben kritische Sicherheitslücken. Neben den Windows-Versionen sind auch die für Linux, OS X und Unix betroffen. Über die Lücken können Angreifer Speicherfehler provozieren und ohne viel Aufwand Code auf Computer und Mail-Server schieben.

Für einen Übergriff soll bereits der Eingang einer E-Mail oder das Aufrufen einer präparierten Webseite ausreichen, warnt der Sicherheitsforscher Tavis Ormandy von Googles Project Zero. Infektionen sollen sogar von Computer zu Computer springen können und so über das Netzwerk oder sogar das Internet immer mehr Maschinen in Mitleidenschaft ziehen. Da Sicherheitsanwendungen mit den höchstmöglichen Rechten laufen, sind die Lücken besonders gefährlich. Angreifer können so aus der Ferne Speicherfehler im Kernel provozieren. Auf Unix-Systemen kann man Root-Rechte erlangen.

Die Schwachstellen klaffen bereits in den Standardkonfigurationen, sodass jeder bedroht ist, der ein entsprechendes Antiviren-Produkt installiert hat. Abgesicherte Versionen und Hotfixes sind verfügbar. Ein Großteil der Symantec-Produkte für den professionellen Bereich aktualisieren sich nicht automatisch, weshalb Admins selbst Hand anlegen müssen. Sie können anhand einer Liste von Symantec (siehe c’t-Link) prüfen, ob ihr Antiviren-Produkt betroffen ist und wie man es absichert. Die betroffenen Consumer-Viren-Scanner von Norton aktualisieren sich hingegen alle automatisch.

Die Wurzel des Übels findet sich in den Entpack-Routinen der Antiviren-Produkte. Auf diesem Weg will ein Viren-Scanner frühzeitig beurteilen, ob Gefahr von einer Datei ausgeht. Die Lücken klaffen unter anderem in den Entpackern für CAB-, RAR- und ZIP-Archive. Die Schwachstellen sind schon länger bekannt und die Entwickler der Entpacker haben die Lücken bereits geschlossen. Doch Symantec hat viele der eingesetzten Open-Source-Bibliotheken wie libmspack und unrarsrc zum Teil seit sieben Jahren nicht aktualisiert, erläutert Ormandy.

(des@ct.de)

Kommentieren