Comeback der Crypto-Ransomware TorrentLocker
Beobachtet wurde die Rückkehr der Erpressersoftware vom Security-Anbieter Forcepoint. Er weist vor allem deshalb darauf hin, weil sie, obwohl zahlreiche Interaktionen der Nutzer erforderlich sind, erfolgreich ist. Offenbar fehlt es immer noch an Aufklärung.
Experten des IT-Security-Anbieters Forcepoint haben auf erneut vermehrtes Auftreten der Ransomware TorrentLocker hingewiesen. Aktuell stehen offenbar in erster Linie Nutzer in Firmen in Schweden und Italien im Visier der Hintermänner. Mit einer neuen Spam-Kampagne kann sich das aber schnell ändern. Die Forcepoint-Experten halten eine Warnung aber vor allem auch deshalb für sinnvoll, weil die Malware sich, obwohl sie von den Nutzern mehrfach Interaktion erfordert, auf die Rechner in Firmen schleichen konnte. In Deutschlang gelang ihr das schon 2015 im Rahmen einer Spam-Kampagnen mit vermeintlichen E-Mails von DHL.
“TorrentLocker ist eine ständige Bedrohung, die sich weiter entwickelt hat und seine Aktivitäten hinter personalisierten E-Mails und kompromittierten Webseiten versteckt”, so Carl Leonard, Principal Security Analyst bei Forcepoint. “Die Rückkehr dieser Ransomware bestätigt erneut, dass das Bewusstsein beim Endnutzer weiter geschult werden muss. TorrentLocker benötigt einen sehr hohen Grad von Aktionen des Nutzers, um erfolgreich zu sein. Dieser wiederum hat während dieses Prozesses mehrere Möglichkeiten zu erkennen, dass er gerade Opfer eines Betruges wird, und ebenso die Gelegenheit, den Prozess abzubrechen.”
TorrentLocker lockt seine Opfer zunächst auf gefälschte Webseiten, die Malware ausliefern. Hier könnten Nutzer bereits an der URL, die nicht der Webadresse des vermeintlichen Absenders entspricht, den Betrugsversuch erkennen. Als Köder nutzen die Hintermänner E-Mails, die eine Benachrichtigung beziehungsweise eine nicht zugestellte Lieferung von bekannten Firmen in Schweden und Italien vortäuschen. Im Anhang wird ein angebliches Word-Dokument mitgeliefert, das sich aber mit der Dateiendung .exe als gefährlich verrät. Auch hier sollten Anwender stutzig werden und abbrechen.
Leonard empfiehlt, dass “jeder E-Mail-Nutzer immer wieder die Authentizität von Senderadressen überprüfen sollte, bevor er Nachrichten öffnet.” Firmen rät er, so wie andere Security-Experten auch, kontinuierlich Backups anzulegen und vertrauliche Daten auf externen Festplatten sicher zu speichern. IT-Verantwortliche finden im Forcepoint-Blog zudem eine Übersicht der bislang von den TorrentLocker-Hintermännern verwendeten, kompromittierten URLs, die Adressen der Command-and-Control-Server sowie Informationen zum Payload.
Erst kürzlich hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Themenpapier zu Ransomware (PDF), das sich an professionelle Anwender und IT-Verantwortliche in Firmen, Behörden und anderen Einrichtungen richtet, veröffentlicht. Darin werden konkrete Handlungsempfehlungen und Hilfestellungen für die Vorbeugung sowie die angemessene Reaktion im Fall eines erfolgreichen Angriffs gegeben. Die BSI-Experten schildern in dem Dokument zudem die Bedrohungslage durch Ransomware und beschreiben Angriffsszenarien sowie mögliche Schäden.
“Die durch Ransomware verursachten IT-Sicherheitsvorfälle der letzten Wochen zeigen, wie abhängig Unternehmen und andere Institutionen von Informationstechnologie sind und welche Auswirkungen ein Cyber-Angriff haben kann”, erklärt BSI-Präsident Arne Schönbohm dazu in einer Pressemitteilung. Er ruft IT-Anwender auf, “sich mit der aktuellen Bedrohungslage durch Ransomware auseinanderzusetzen und entsprechende Schutzmaßnahmen zu ergreifen.”