NIERO@net e.K. – Corporate Blog

Wir sichern Ihre digitalen Unternehmenswerte!

perfide Bedrohung: "Ransomware"

Es scheint, als nähme die Bedrohung durch „Ransomeware“, wie dem sog. „BKA-Trojaner“, wieder zu (Zumindest wird meines Erachtens wieder verstärkt darüber gesprochen):

clip_image001[4]

Ransomeware ist eine Phishingmethode, die mit der Angst der Benutzer spielt, indem der Computer wegen angeblich illegaler Aktivitäten durch das BKA, die Bundespolizei oder die GEMA gesperrt wird und erst gegen Zahlung eines bestimmten Betrags freigeschaltet wird.

Deutschland ist nicht das einzige betroffene Land, es gibt lokalisierte Versionen für Spanien, die Schweiz u.a.

Das perfide ist, das sich diese Bedrohung via Drive-By-Downloads, auch über legitime Websites verbreitet, die auf Servern liegen, die von den Angreifern kompromittiert wurden.

Das Microsoft Malware Protection Center (MMPC) hat eine Grafik angefertigt, die zeigt, wie ein Angriff abläuft:

One scenario is that a user visits a legitimate website that has been compromised with malicious JavaScript code. This results in the browser being redirected to a URL in which the exploit kit is hosted. Another possible way one can land on a Blackhole domain is by clicking on a spammed link. We are aware of several spam campaigns that contain links to the exploit kit and we know that some of the spam is generated by the Cutwail botnet.

The Blackhole exploit kit checks for the presence of several vulnerabilities on the system, as visible in Figure 2. If the user hasn’t installed all of the available Microsoft security updates or is using a browser with vulnerable plug-ins, malware may be downloaded and executed automatically, without human intervention.

clip_image003[4]

Wie Sie sehen, scannt der Trojaner das System nach bekannten Schwachstellen, die vom „Blackhole Exploit Toolkit“ ausgenutzt werden können.

Neben der üblichen professionellen Firewall und dem üblichen professionellen, aktuellen AV-System sind demnach 2 Dinge wichtig:

  • Stets die Software aktuell halten und kritische Patches der verschiedenen Hersteller umgehend installieren
  • Stets mit den minimalsten, benötigten Rechten arbeiten und auf administrative Berechtigungen verzichten (Software, die heute noch administrative Berechtigungen benötigt, ist definitiv unprofessionell geschrieben und sollte getauscht werden!)

Deutschland ist laut MMPC am meisten betroffen, wie die folgende Grafik zeigt:

clip_image005[4]

 

Continue reading

19. April 2012 Posted by | Lessons learned: Notes from the field | , , , , , , | Kommentare deaktiviert für perfide Bedrohung: "Ransomware"