VOLLTEXTSUCHE
News, 15.07.2014
Malware-Warnung
Bitdefender warnt vor Trojaner CryptoLocker
Nach Auskunft des Security-Spezialisten Bitdefender geht von der Erpressersoftware CryptoLocker trotz Zerschlagung des Versendernetzwerks weiterhin Gefahr aus. Demnach sind noch immer viele Rechner mit dem Trojaner in einem inaktiven Modus infiziert.
Mit Aktivierung des Trojaners CryptoLocker (engl. "lock" = Schloss / Verriegelung) haben Nutzer keinen Zugriff mehr auf ihre Daten.
Mit Aktivierung des Trojaners CryptoLocker (engl. "lock" = Schloss / Verriegelung) haben Nutzer keinen Zugriff mehr auf ihre Daten.

Bitdefender zufolge wurden in den vergangenen neun Monaten mit der Malware CryptoLocker von Privatanwendern mehr als 27 Millionen US-Dollar erpresst. Seit Entdeckung des Trojaners im November 2013  war der Antivirus-Spezialist aktiv daran beteiligt,  Schwachstellen des Trojaners zu ermitteln und die Personen auszumachen, die hinter dem Trojaner stecken. Mit der Beschlagnahmung des Botnetzes GameOver Zeus konnte Anfang Juni die Verbreitung von Cryptolocker zwar gestoppt werden, eine Vielzahl an Rechnern ist aber noch infiziert. Anwender sollten daher unbedingt einen Virenscan auf ihren Rechnern durchführen, um einen inaktiven CryptoLocker zu erkennen und zu beseitigen.

Bitdefender nach verbreitet sich die Malware überwiegend über Spam-Nachrichten, in deren Anhang sich eine Passwort-geschützte Datei mit einem CryptoLocker-Downloader befindet. Sobald der Trojaner aktiviert wird, kontaktiert CryptoLocker sein Command-and-Control-Center, das einen 2048-BIT-RSA-Schlüssel generiert, dessen Entschlüsselung sehr unwahrscheinlich ist.

Die Russland-Verbindung

Bereits kurz nach der Entdeckung des Trojaners versuchten die Experten von Bitdefender über die IP-Adresse herauszufinden, wer hinter CryptoLocker steckt. Sie wurden an einen russischen Händler weitergeleitet, der sich aber nicht als Eigentümer von CryptoLocker erwies, sondern den Server vermietet hatte. Der Reseller fuhr den Server herunter, danach war der Trojaner für einige Tage verschwunden. Kurz darauf wurde aber festgestellt, dass sich der Trojaner trotz des sogenannten „Takedowns“ weiter verbreitete.

In enger Zusammenarbeit mit dem russischen Händler fand Bitdefender heraus, dass der gesuchte Server in Großbritannien gehostet wurde. Daneben begann die britische NCCU (National Cyber Crime Unit) eine unabhängige Untersuchung und überwachte den Server. Um seinen Zustand zu bewahren, wurde er am 6. Februar 2014 isoliert. Allerdings war es nach der Beschlagnahmung nicht mehr möglich, auf den Server zuzugreifen. Zwei Wochen später informierte die NCCU Bitdefender, dass es sich bei dem Server um einen Proxy handelte, der eine Botnetz-Infrastruktur verbarg.

Botnetz noch lange aktiv

Währenddessen überspielte die CryptoLocker-Bande ihre Daten auf einen anderen Rechner. Am 28. Januar 2014 wurde von einem infizierten Computer eine Verbindung an zwei IPs aufgebaut, die in einem russischen Rechenzentrum gehostet wurden – ein klarer Indikator, dass das Botnetz noch aktiv war. Durch eine ständige Überwachung der Domains, die vom entsprechenden Algorithmus erzeugt wurden, konnte die IP-Adresse ermittelt werden. Eine dieser IP-Adressen wurde auf einem Server in der Ukraine gehostet. Die Entwickler von Bitdefender fanden heraus, dass der Tier-1-Proxy-Server den Datenverkehr seiner Opfer auf einen zweiten Server weiterleitete, um seine Anonymität sicherzustellen. Da Bitdefender Zugang zu dem Tier-1-Proxy hatte, konnte das Unternehmen die Konfigurationsdateien verfolgen und auf den Tier-2-Proxy zugreifen. Diesem Server waren mehr als 10 verschiedene IP-Adressen zugewiesen.

Enge Verbindung mit GameOver Zeus

Am 2. Juni 2014 konnten die Sicherheitsbehörden das Botnetz GameOver Zeus ausschalten, das eine tragende Rolle bei der Verbreitung und Koordination von CryptoLocker spielte. Allerdings sind derzeit noch eine Reihe von Computern mit CryptoLocker infiziert, die bislang noch nicht „aktiviert“ worden sind. Sobald dies geschieht, ist davon auszugehen, dass Anwender den Zugriff auf ihre Daten sofort verlieren werden.

„Um einen inaktiven CryptoLocker zu erkennen und zu beseitigen, sollten Anwender daher unbedingt einen Virenscan auf ihrem Rechner durchführen“, erläutert Catalin Cosoi, Chief Security Researcher bei Bitdefender. „Zwar scheint die Gefahr mittlerweile gebannt, dennoch sollten Anwender neben der Verwendung einer Anti-Malware-Lösung auch Software-Updates für Produkte von Drittanbietern wie Java, Adobe Reader oder Flash einsetzen, sobald diese verfügbar sind.“

WEITERE NEWS AUS DIESER KATEGORIE
NACHRICHTEN AUS ANDEREN RESSORTS
Erfolgsfaktor Datensicherheit und Datenschutz
Gleich wie gut ein Unternehmen technologisch gegen Cyberkriminalität abgesichert ist: Die letzte ... mehr

SUCHE
Volltextsuche





Profisuche
Anzeige
PRESSEFORUM MITTELSTAND
Pressedienst
LETZTE UNTERNEHMENSMELDUNGEN
BRANCHENVERZEICHNIS
Branchenverzeichnis
Kostenlose Corporate Showrooms inklusive Pressefach
Kostenloser Online-Dienst mit hochwertigen Corporate Showrooms (Microsites) - jetzt recherchieren und eintragen! Weitere Infos/kostenlos eintragen
Anzeige
BUSINESS-SERVICES
© novo per motio KG