Einfallstore von Erpressungstrojanern

Erpressungstrojaner wie CryptoLocker, Chimera und ähnlichen stellen derzeit eine wachsende Bedrohung dar. Wie aber kommt es zu diesen Infektionen?

Die Einfallstore umfassen zunehmend das inzwischen sicher geglaubte Medium E-Mail. Die Masche ist ausgefeilter als bei früheren Angriffswellen. So nutzen die Schädlinge dem BSI zufolge gezielt E-Mail-Adressen aus Unternehmen und Behörden. Als Social-Engineering-Köder dienen beispielsweise vermeintliche Bewerbungen. Die Angriffe sollen dem BSI zufolge derart maßgeschneidert sein, dass diese gefälschten Bewerbungen auf öffentlich ausgeschriebene Stellen Bezug nehmen. In diesen E-Mails erwartet der Empfänger Dokumente im Anhang und öffnet sie arglos.Diese Dokumente, seien es Word-Dateien oder PDF-Dokumente, können beispielsweise schädliche Links an der Antivirenlösung vorbei schmuggeln. In der Regel wird die E-Mail-Textnachricht auf derartige Links untersucht, angehängte Dokumente jedoch lediglich auf klassische Schädlinge. Der Anwender weiß davon nichts und folgt solch einem Link. Auf der Zielseite wartet ein Exploit-Kit auf den Besucher, um diverse Sicherheitslücken in veralteter Software zu suchen und zur Infektion des Rechners auszunutzen. Daher ist es nach wie vor wichtig, alle verfügbaren Aktualisierungen für das Betriebssystem und weiterer Software wie Java, Flash-Player und PDF-Reader zeitnah einzuspielen.

Die Angriffe werden jedoch noch ausgefeilter. Ein zweite, eigentlich als geschlossen geltende Lücke sind Skripte in Office-Dokumenten. Diese Makros waren seit nunmehr zehn Jahren entschärft, da darüber bereits größere Angriffswellen liefen. Die jüngsten Angriffe mit schädlichen Dokumenten funktionieren jedoch mit Office-Dateien, die Makros enthalten – die wiederum bei Ausführung Schadsoftware aus dem Internet nachladen und auf den Rechner installieren.

Dies bedeutet jedoch, dass in der Regel die Endanwender mitarbeiten müssen, um den Rechner zu befallen. Die E-Mail-Anhänge müssen geöffnet und dieser Vorgang mindestens ein mal bestätigt werden.

Da die Angriffe wie beschrieben mehrstufig erfolgen und die aktiven bösartigen Komponenten nur eine sehr kurze Verweildauer im Netz haben und in rascher Folge durch neue, angepasste Versionen von den Virenprogrammierern ersetzt werden, haben sämtliche Antivirenhersteller derzeit Probleme, rasch effiziente heuristische Erkennungen zu erstellen. Bis neue Signaturen erstellt und auf Fehlalarme überprüft wurden, sind bereits einige Angriffe erfolgreich verlaufen. Sobald diese Erkennung dann auf den Anwenderrechnern ausgerollt werden, legen die Cyberkriminellen mit einer neuen Schädlingsversion nach, die dann auch gleich die Verschlüsselung leicht anpasst. Dadurch schlagen die Schädlinge bei vielen Opfern durch; Entschlüsselungsroutinen sind aufgrund der schieren Masse an unterschiedlichen Versionen nicht mit vertretbarem Aufwand zu programmieren.

Die Antivirenhersteller entwickeln mit Hochdruck neue Gegenmaßnahmen, was jedoch noch Zeit benötigt. Einfache, gemeingültige Einstellungsänderungen an der Antivirensoftware gibt es leider nicht – in einigen Fällen ist eine gangbare Lösung, in den Einstellungen des E-Mail-Virenfilters bestimmte Dateiendungen von Anhängen ausfiltern zu lassen. Zum Beispiel .doc, .xls und .pps. Meist sind derartige Dokumente auch im E-Mail-Verkehr jedoch wichtig für das Unternehmen. Daher müssen jetzt weitere Sicherungsmechanismen von Administratoren und Endanwendern eingesetzt werden. Zum Einen gehört dazu die Anwenderschulung: Bei E-Mail-Anhängen äußerst aufmerksam sein und Skript-Ausführung keinesfalls aktivieren. Bei doppelten Dateiendungen (.pdf.exe, .pdf.zip) kann man stets von Malware ausgehen und die Nutzer anweisen, derartige Mails zu löschen, ohne die Anhänge zu öffnen.

Da insbesondere die Crypto-Locker, die bei Infektion des Rechners alle Laufwerke durchsuchen und abgelegte Dokumente verschlüsseln, mit dieser Masche verbreitet werden, ist aufgrund der aktuellen Situation zudem der Einsatz von Backups empfehlenswert. Dieses sollte als Ziel beispielsweise auf entfernbaren Medien speichern, sodass im Infektionsfall das Backup nicht ebenfalls verschlüsselt wird und der Schaden begrenzt bleibt.

Jürgen Jakob