Locky

Locky

Angriff per Word-Datei!

Moin Moin,
sehr geehrte Damen und Herren,
liebe Geschäftspartner,
Freunde und Kollegen,

Internet-Kriminelle präparieren Office-Dateien, um Rechner mit gefährlichen Schadcodes zu infizieren.

Wir haben uns daran gewöhnt, dass im Posteingang neben Nachrichten von Freunden und verlässlichen Geschäftspartnern auch verbrecherische Junk-Mails auflaufen. Doch die schwarzen Schafe zu entdecken ist nicht immer leicht, denn Viren und Trojaner verstecken sich hinter scheinbar echten Mails von Behörden, Banken oder Telefonanbietern. Cyber-Gangster sind kreativ: Die Palette reicht von der gefälschten Telekom-Rechnung bis hin zur vermeintlichen Benachrichtigung vom Bundeskriminalamt.

Der spontane Klick auf eine Betrugsmail hat fatale Folgen

Zwei gute Türsteher – sprich Spam-Filter und Viren-Scanner – sind Gold wert, doch einige Mails mit bösen Absichten kommen trotzdem an den breitschultrigen Wächtern vorbei. Eine gesunde Portion Misstrauen ist nie verkehrt, denn das spontane Anklicken einer Betrugsmail hat fatale Folgen: So kann beispielsweise ein integriertes Java-Skript dafür sorgen, dass Malware auf dem Rechner aktiviert wird. Ältere Mail-Programme sind besonders anfällig, die mitgelieferten Dateien im Anhang können so meist noch gefährlicher sein. Wer Anlagen unbekannter Herkunft kopflos öffnet, handelt grob fahrlässig.

ZIP- oder EXE-Dateien werden als Eindringlinge abgelöst

2015 und 2016 sind die Angriffe durch Office-Dateien im Mail-Anhang rapide nach oben geschnellt. Der „Microsoft Word Intruder“ (MWI) setzt auf nicht geschlossene Sicherheitslücken im Windows-Betriebssystem und löst die altbekannte ZIP- oder EXE-Datei als Eindringling in Anhängen zunehmend ab. Das Öffnen der Word-Datei reicht aus, um Windows-Rechner mit einem Schadcode zu infizieren.

Seit den 1990er Jahren werden stetig neue Tools und Crimeware-Kits auf den Markt geschwemmt, die allesamt nur ein Ziel verfolgen: Geschäfts- oder Privatleuten das Geld aus der Tasche ziehen. Kriminelle Programmierer bieten professionelle Malware oder gleich ganze Baukästen an, so wie das in Russland entwickelte „Malware Creation Kit“ – damit können digitale Langfinger jedes Office-Dokument für ihre Zwecke präparieren.

Dropper und Downloader – die Komplizen der Kriminellen

Mit den Baukästen lassen sich zwei Varianten von Schadprogrammen kreieren: Dropper und Downloader, die übergeordnet als Payload bezeichnet werden. Dropper sind autark – eigenständig arbeitende Programmdateien, die bereits den gesamten auszuführenden Code mit an Bord haben. Dagegen müssen Downloader diesen Schadcode erst komplett oder teilweise von Servern herunterladen. Laut einer Studie des britischen Antiviren-Herstellers Sophos liegt die Dropper-Variante in der Anwendungshäufigkeit vorne (im Verhältnis 60 zu 40 Prozent).

Der gewählte Verbreitungsweg der Payload-Schädlinge ist dabei wahrlich nicht neu. Getarnt als Mahnung, Rechnung oder Bestellbestätigung im Mail-Anhang soll der Code auf die Festplatten ausgesuchter Opfer-Rechner befördert werden. Ein bewährtes Verfahren, das in kriminellen Kreisen offenbar ebenso wenig reformbedürftig erscheint wie der angestaubte Enkel-Trick am Telefon.

Erpresser erbeuten persönliche Opfer-Daten

Doch der Erfolg gibt den Cyber-Dieben recht: Vor einigen Jahren speisten die Angreifer mit der Anhang-Masche den Banken-Trojaner „Zeus“ gewinnbringend in Rechnersysteme ein. Ebenso den zur Erpressung verwendeten Schadcode „Cryptowall“, der die Festplatten der Opfer verschlüsselt und dann eine Lösegeldforderung formuliert. Perfide, aber wirksam. So mancher Geschäftsmann hat schon hohe Summen locker gemacht, um seine sensiblen Unternehmensdaten freizukaufen. Die größte Gefahr geht aktuell vom Trojaner „Locky“ aus, der hierzulande mit über 5000 Neuinfektionen pro Stunde(!) wütet. Zusätzlich erbeuten Erpresser bei ihren Streifzügen durch fremde Festplatten persönliche Opferdaten, wie Kreditkarten- oder Kontoinformationen, um damit ebenfalls Kasse zu machen. Inzwischen verwenden Cyber-Kriminelle Tools, die bisher nur Mitarbeitern von Geheimdiensten geläufig waren – ein Trend, der Experten Sorge bereitet.

User von sozialen Netzwerken bewegen sich auf dünnem Eis

Eine Gefahr geht auch von den sozialen Netzwerken aus, deren Spam- und Virenschutz zu wünschen übrig lässt. User, die bei Xing, Facebook oder Google+ aktiv Datenquellen via Chat und Messenger austauschen, bewegen sich auf dünnem Eis. Die Betreiber der Portale durchleuchten nicht, ob Dateien oder Links tatsächlich durch einen direkten Kontakt zustande kommen. Jeder soziale Netzwerker muss selbst die Vertrauenswürdigkeit von Dateien prüfen und abwägen, ob er sie öffnet.

Unnötige Angriffsflächen vermeiden

Um seinen Rechner vor Infektionen durch schadhafte MWI-Dokumente zu schützen, gibt es wirksame Gegenmaßnahmen: Ein gutes Antiviren-Programm sowie eine professionelle Spam-Analyse sind obligatorisch und selbstverständlich in unserem Colaboration-Paket AA-HA aTeamMail enthalten. Des Weiteren sollte jede Software regelmäßig aktualisiert werden, im Idealfall automatisch per AA-HA aBestService.

Wir raten, nicht dringend benötigte Programme vom Rechner zu entfernen – so reduziert sich die Angriffsfläche erheblich. Dazu sollte das tägliche Arbeiten am Computer mit vollen administrativen Rechten vermieden werden. Wer mit eingeschränkten Benutzerrechten unterwegs ist, verringert damit die Schadensanfälligkeit seines Systems. In Unternehmen ist es sinnvoll, die Belegschaft regelmäßig über aktuelle Angriffsmethoden und Gefahren aus dem Netz zu informieren.

Unbekannte Mails kritisch beäugen

Der beste Schutz vor gefährlichen Payloads ist immer noch der gesunde Menschenverstand. Jede unbekannte Mail im Posteingang sollte kritisch beäugt werden. Klingt die Senderadresse seltsam oder der Betreff wenig plausibel, müssen die Alarmglocken schrillen. Der Verhaltenskodex lautet in diesem Fall: keine spontanen Klicks, Mail samt Anhang mit Vorsicht genießen und im Zweifel in den Papierkorb verschieben.

Weiterhin gute Zusammenarbeit wünscht
AA-HA Group KG

Branko Bersa jun I
Geschäftsführender Inhaber

No comments