Ransomware kommt jetzt auch als vermeintliche Rechnung via Dropbox

Experten des IT-Sicherheitsanbieters Trend Micro haben vor einer neuen Angriffsvariante mit Erpressersoftware gewarnt. Bislang wurde Ransomware vornehmlich über E-Mail-Anhänge – sei es als Rechnung, Mahnung, Bewerbung oder anderweitiges, für den Empfänger vermeintlich wichtiges Dokument getarnt – verschickt. Jetzt machen sich die Hintermänner auch die zunehmende Verbreitung und Nutzung von Dropbox im Business-Umfeld zunutze und versuchen, Schadsoftware als Rechnung getarnt über Dropbox-Links auf Firmenrechner zu schleusen.

Im Beobachtungszeitraum vom 26. Februar bis 6. März 2017 entfielen über 36 Prozent der von Trend Micro gezählten, 54.688 derartigen Spam-Nachrichten auf Nutzer in Deutschland. Damit ist das neue Problem hierzulande am größten. Im Zuge der Malware-Kampagne wurden laut Trend Micro in Deutschland 815 Dropbox-Konten missbraucht. Klicken Empfänger auf einen der Links, lösen sie die Infektion des genutzten Rechners mit der Erpressersoftware TorrentLocker aus.

Trend Micro hat Dropbox vor Veröffentlichung der Informationen dazu über die Gefahr informiert. Laut Dropbox wurden inzwischen alle entdeckten bösartigen Dateien entfernt und die betroffenen Nutzerkonten gesperrt.

“Cyberkriminelle folgen stets den Gewohnheiten der Anwender. Und je verbreiteter die Nutzung solcher Cloud Services ist, desto wahrscheinlicher missbrauchen Online-Gangster diese als neue Angriffswege. … Ganz nebenbei werden dabei die Sicherheitsmechanismen am Gateway überlistet, weil kein verdächtiger Anhang vorliegt, der Link von einer legitimen Domäne stammt und dieser zudem über das legitime SSL-Protokoll abgesichert ist“, erklärt Trend Micro in einer Pressemitteilung.

Bereits im Herbst vergangenen Jahres hatte das Unternehmen Netskope vor einer neuen Variante der Ransomware Virlock gewarnt, sie sich über Cloud-Storage und Collaborations-Anwendungen in der Cloud ausbreiten kann. So könnten vor allem in Unternehmen infizierte Nutzer die Erpresserssoftware ungewollt im gesamten Netzwerk verbreiten.

Als Beispiel nannte Netskope zwei Anwender, die Zugriff auf den gemeinsamen Ordner eines Cloud-Speichers haben, dessen Inhalt automatisch mit ihren Rechnern synchronisiert wird. Fängt sich einer der beiden Virlock ein, werden dessen lokalen Dateien infiziert und anschließend mit der Cloud synchronisiert. Klickt der andere Anwender dann eine Datei in dem Ordner an, wird Virlock unter Umständen auch auf dessen System ausgeführt.

Um sich vor Erpressersoftware zu schützen, empfiehlt Trend Micro ebenso wie andere IT-Sicherheitsanbieter neben einer Sicherheitssoftwar auch ein regelmäßiges Backup. Dabei sollten Anwender aber beachten, dass ausgefeilte Ransomware inzwischen auch Netzlaufwerke identifizieren und verschlüsseln kann. Daher empfiehlt Trend Micro zur Datensicherung die 3-2-1-Regel: drei Kopien in zwei Formaten auf einem isolierten Medium. Zum Beispiel könnten wichtige Dateien erstens auf einem externen Speichermedium (externe Festplatte oder Stick) gespeichert, zweitens in der Cloud abgelegt und drittens auf eine CD gebrannt werden. Opfern von Erpressersoftware rät Trend Micro zu seinem Crypto-Ransomware File Decryptor Tool. Außerdem bieten auch weitere Hersteller sowie das von europäischen Polizeibehörden mitgetragene Projekt NoMoreRansom.org diverse kostenlose Tools für die Ransomware-Entschlüsselung.