Exploit Kit Magnitude nutzt Leck im Flash Player zum Einschleusen von Ransomware
Darauf hat Trend Micro aufmerksam gemacht. Die Erpressersoftware CryptoWall 3.0 wird für eine derzeitige Angriffswelle in erster Linie gegen Nutzer in den USA, Kanada, Großbritannien und Deutschland eingesetzt. Die Kriminellen nutzen eine kürzlich geschlossene Sicherheitslücke im Adobe Flash Player aus.
Aktuell liefern Kriminelle mit dem Magnitude Exploit Kit verstärkt die Ransomware CryptoWall 3.0 aus. Nach Erkenntnissen von Trend Micro sind von der Angriffswelle primär Anwender in den USA, Kanada, Großbritannien und Deutschland betroffen. Der Exploit-Baukasten nutzt die von Adobe – zusammen mit zwölf anderen Schwachstellen im Zuge des turnusmäßigen Juni-Updates – geschlossene Sicherheitslücke CVE-2015-3105 aus. Nutzer, die Version 18.0.0.160 des Flash Players schon installiert haben, sind folglich nicht betroffen.
“Das dürfte jedoch nur ein kleiner Teil der Anwender sein”, mutmaßt Trend-Micro-Sprecher Udo Schneider in einem Blogeintrag. “Und da die Cyberkriminellen das ganz genau wissen, bauen sie verstärkt Schädlinge für bereits geschlossene Sicherheitslücken, vorzugsweise in beliebten und daher weit verbreiteten Anwendungen.”
Hat sich CryptoWall 3.0 erst einmal auf dem Rechner eingenistet, sperrt die Schadsoftware den Zugang zu dem infizierten PC und chiffriert alle darauf befindlichen Dateien und Ordner. Die Hintermänner verlangen dann von ihren Opfern ein Lösegeld, damit diese die Sperre aufheben.
Schneider zufolge ist der gegenwärtige Vorfall ein weiteres Beispiel dafür, “wie Cyberkriminelle in kurzer Zeit mittels Exploit Kits erst kürzlich gepatchte Sicherheitslücken ausnutzen.” Im März hatte Trend Micro schon auf einen ähnlichen Fall aufmerksam gemacht. Damals entdeckte man Exploits für eine ebenfalls im Adobe Flash Player befindliche Sicherheitslücke schon eine Woche, nachdem Adobe den Patch bereitgestellt hatte, im Nuclear Exploit Kit.
Seit Mai offeriert der Sicherheitsforscher Jada Cyrus ein Ransomware Rettungskit. Das Ransomware Response Kit richtet sich in erster Linie an Systemadministratoren und IT-Profis. Vor jedem Versuch, damit Erpressersoftware zu beseitigen, sollte laut Cyrus, eine Kopie für spätere Analysen angefertigt werden.
Cyrus hat in seinem Rettungskit nicht zuletzt mehrere Entfernungswerkzeuge für CryptoLocker, FBIRansomWare, CoinVault sowie die CyptoLocker-Variante TeslaCrypt kombiniert. Darüber hinaus hat er das Ransomware Removal Tool von Trend Micro integriert. Ebenso wie andere Spezialisten empfiehlt auch Cyrus, prinzipiell kein Lösegeld zu zahlen. Das ermutige die Kriminellen nur dazu, ihre Attacken fortzuführen.
[mit Material von Peter Marwan, ZDNet.de]
Download zu diesem Beitrag:
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.