Aktuell scheint es neue Malware-Kampagnen zu geben, die modifizierte Exploit-Kits zum Ausrollen von Mal- und Ransomware verwenden, die sogar Windows-Schutzmechanismen umgehen können. Und zwei Botnets sind offenbar spurlos verschwunden.
Anzeige
Zur Verteilung von Malware werden infizierte Webseiten genutzt, auf denen Exploit Kits nach Lücken in den (Windows-)Systemen der Benutzer suchen. Dabei haben Sicherheitsforscher zwei neue Entwicklungen ausgemacht.
Exploit-Kits verschwinden und werden ersetzt
Zuerst schien es, als ob bestimmte Exploit-Kits von der Bildfläche verschwunden seien. Bei dontneedcoffe.com findet sich ein Hinweis, dass das Nuclear Exploit Kit Ende April 2016 von der Bildfläche verschwand, während der Angler Exploit-Kit ab 7. Juni mehr oder weniger ‘weg’ war. Hinter den Kulissen hat sich aber wohl was getan – in einer Malware-Kampagne kam ab Anfang Juni 2016 der Neutrino Exploit Kit erneut zum Einsatz, um den Trojaner Cerber (sprechende Ransomware) zu verteilen. Auch
Auch Malwarebytes berichtet in diesem Artikel, dass der Angler Exploit Kit in Malware-Kampagnen zunehmend durch das Neutrino Exploit Kit ersetzt werde. Mit Hilfe dieses Exploit Kits wurde versucht, Ransomware wie Cerber oder CryptXXX per Flash-Exploit zu verteilen.
Neue Angler-Variante umgeht Windows EMET-Techniken
Microsoft bietet das Tool EMET (Enhanced Mitigation Experience Toolkit) an, ein Hilfsprogramm, welches verhindern soll, dass Software Sicherheitslücken in Windows ausnützen kann. Ist ein Ansatz, der u.a. in Unternehmen zum Einsatz kommt, um Software, von der Sicherheitslücken bekannt sind, ohne das schon Updates bereitstehen “zu härten”. Durch die EMET-Schutzmechanismen soll die Ausnutzung diverser Angriffsszenarien wie Speicherüberläufe etc. erschwert oder verhindert werden.
Bereits am 6. Juni 2016 haben die Sicherheitsforscher von Fireeye den Artikel ANGLER EXPLOIT KIT EVADING EMET publiziert. Dieser Artikel zeigt, wie eine modifizierte Variante von Angler die EMET-Schutzmechanismen aushebeln kann. Bei Interesse: die Redaktion von heise.de hat den Inhalt des Fireeye-Artikels in einem deutschsprachigen Beitrag thematisiert.
Botnets Locky und Dridex verschwunden
Und noch etwas wunderliches tut sich. Ich wurde bereits in diesem Kommentar auf dem Golem-Artikel Locky- und Dridex-Botnetz ist spurlos verschwunden aufmerksam gemacht. Es gibt einen Rückgang der Malware-Familien Dridex (Banking-Trojaner) und Locky (Erpressungs-Trojaner), die auf Probleme beim verteilenden Botnetz zurück gehen. Ein Tweet weist bereits am 6. Juni 2016 auf den Rückgang des Traffics bei necurs-Botnet hin.
Necurs was the world’s largest botnet. If you saw most malicious traffic drop off your firewall 1st June… pic.twitter.com/cFX8ZiQjly
— Kevin Beaumont (@GossiTheDog) 6. Juni 2016
Auch heise.de hat sich im Beitrag Locky und Dridex: Der Fall des verschwundenen Botnetzes dem Thema gewidmet. Offenbar wurden die Command & Control-Server abgeschaltet. Damit dürfte es für Betroffene des Erpressungstrojaners Locky unmöglich werden, sich die Informationen zum Entschlüsseln der Dokumente zu “kaufen”.
Anzeige
Ähnliche Artikel:
Sicherheitsinfos zum 6. Juni 2016
Cerber, neue, sprechende Ransomware
Liegt bestimmt daran, das Symantec Blue Coat aufgekauft hat und die internen Tests mit den Zertifikate jetzt immense Panik bei den C&C Betreiber einher geht ;-)
Echt gekauft? Dann sollte die Panik vielleicht nicht nur C&C Betreiber ergreifen…
https://www.heise.de/security/meldung/Ueberwachungs-Verdacht-Empoerung-um-Intermediate-CA-von-BlueCoat-3222420.html
Damit würde Symantec als Firma ja noch unbeliebter und weiter in die Kritik rutschen.
Yep -> http://www.faz.net/aktuell/wirtschaft/unternehmen/symantec-kauft-blue-coat-nach-trennung-von-veritas-14284062.html und zig andere News Seiten … 4.65milliarden $
Darum auch der Seitenhieb mit „internen Tests“ von den Beiden ;-) Die haben da wohl schon mehr gemacht/gewusst (imho).