Neue Ransomware Hades Locker ahmt Locky nach

Der IT-Sicherheitsanbieter Proofpoint hat jetzt Details zu einer von ihm Anfang Oktober entdeckten Ransomware-Kampagne vorgelegt. Die Schadsoftware wird von ihren Autoren selbst “Hades Locker” genannt und in gezielten Kampagnen an Hersteller und Dienstleistungsbetriebe in Westeuropa versandt.

Die Opfer erhielten E-Mails mit darin enthaltenen URLs. Die sind mit einem Microsoft Word-Dokument verlinkt, das einen Namen nach dem Muster “levering-1478529.doc” träg. “Levering” ist niederländisch für “Lieferung”, die Zahlen dahinter variieren. Das Dokument wurde auf unterschiedlichen Websites mit neu registrierten Domänen gehostet.

Dadurch unterscheidet sich der Angriff mit “Hades Locker” auch von den meisten anderen Ransomware-Kampagnen mit Word-Dokumenten: Üblicherweise findet sich da die infizierte Datei im Anhang der E-Mail. Beispiel dafür aus der jüngeren Vergangenheit sind etwa “Locky” und “MarsJoke”.

Die Zahlungsaufforderung der Ransomware “Hades Locker (Screenshot: Proofpoint)

In anderen Punkten entdeckte Proofpoint insbesondere mit “Locky” aber zahlreiche Gemeinsamkeiten: “Hades Locker” scheint eine Weiterentwicklung von “Zyklon Locker” und “Wildfire Locker” zu sein, die nach unserer Beobachtung früher in diesem Jahr dasselbe Botnet (Kelihos http://garwarner.blogspot.com/2016/07/kelihos-botnet-delivering-dutch.html) gesendet haben. Die erst kürzlich erfolgten CryptFile2– und MarsJoke-Kampagnen verwendeten ebenfalls dasselbe Spam-Sende-Botnet und ähnliche Verteilermethoden“, so die Proofpoint-Experten.

Eine weitere Gemeinsamkeit ist, dass in den Köder-E-Mails jeweils Themen angesprochen und vorgetäuscht wurden, in denen es um die Logistik ging. Allerdings wurden andere “Verteiler” für den Versand verwendet: Während sich “CryptFile2” und “MarsJoke” vor allem an Behörden und Verwaltungseinrichtungen versandt wurden, erhalten im Zuge der “Hades Locker”-Kampagne vor allem Hersteller und Dienstleistungsbetriebe die gefährlichen E-Mails.

Um einer Entdeckung zu entgehen, begrenzen die Kriminellen die zudem die Anzahl der versandten Mail auf lediglich wenige hundert. Wie viele andere Ransomware-Typen erstellt auch “Hades Locker” mehrere Dateien in unterschiedlichen Formaten (.txt, .html und .png) mit Informationen zur Verschlüsselung und der Zahlungsaufforderung, und verteilt diese im Dateisystem. Verschlüsselte Dateien sind an Erweiterungen nach dem Muster .~HL233XP, .~HLJPK1L oder .~HL0XHSF erkennbar. Dabei sind nur die ersten vier Zeichen immer gleich, die übrigen fünf unterscheiden sich.

Wie groß das Problem mit Ransomware inzwischen auch im gewerblichen Bereich ist, zeigt der Zuspruch, den die Initiative NoMoreRansom kürzlich erfahren hat: Der von der niederländischen Polizei, Kaspersky und Intel Security vor drei Monaten in Zusammenarbeit mit Europol ins Leben gerufenen Initiative haben sich inzwischen bereits Organisationen aus 13 Ländern angeschlossen.

Neben Bosnien-Herzegowina, Bulgarien, Frankreich, Großbritannien, Irland, Italien, Kolumbien, Lettland, Litauen, Portugal, Spanien und Ungarn ist auch die Schweiz dabei, Deutschland und Österreich dagegen nicht. Im Wesentlichen bietet NoMoreRansom eine Anlaufstelle für Opfer von Ransomware: Sie finden dort Entschlüsselungstools und Informationen, wo und wie sie ihren Fall den Behörden melden und zur Anzeige bringen können. Aber auch Informationen zur Prävention stehen dort bereit.

Mehr zum Thema

Wie man gefährliche E-Mails identifiziert

Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.

Redaktion

Recent Posts

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

7 Stunden ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

7 Stunden ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

8 Stunden ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

3 Tagen ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

4 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

4 Tagen ago