Palo Alto Networks meldet: Ransomware CTB-Locker umgeht Sicherheitsprogramme

Thorsten Henning Palo Alto Networks qdr

Palo Alto Networks beobachtet seit rund zehn Tagen eine große Angriffswelle des Ransomware-Trojaners CTB-Locker, die zwischen 19. und 20. Januar gestartet wurde. Die Enterprise-Security-Plattform von Palo Alto Networks hat seitdem mehr als 1.000 separate Angriffe identifiziert. Die Angreifer setzen einen polymorphen Malware-Builder ein, um Malware mit einem eigenen Hash für jedes Opfer zu erzeugen. Damit verhindern sie, dass Signatur-basierte Lösungen neue Angriffe erkennen können. Diese Taktik ist ein denkbar ungünstiges Szenario für konventionelle Security-Produkte, die auf veralteten Techniken wie Bytes-Signaturen basieren. So werden Angriffe erst erkannt, nachdem der Schaden eingetreten ist, statt Angriffe rechtzeitig zu verhindern, wie es bei einer echten Präventionslösung der Fall sein sollte.

CTB-Locker ist bekannt als Ransom-Trojaner, der von Crimeware-Gruppen verwendet wird, um Dateien auf Endpunkten zu verschlüsseln. Im Anschluss daran wird vom Opfer Lösegeld verlangt, um die Dateien wieder in den Originalzustand zu versetzen. Der Angriffsvektor ist sehr einfach aufgebaut und wiederholt sich immer wieder: Es geht los mit dem Versand einer Spear-Phishing-E-Mail, die doppelt gezippte SCR-Anlagen enthält. Nachdem der Anwender den ersten Schritt ausgeführt hat, wird die Malware heruntergeladen und die Ransomware von einer Liste an Servern ausgeführt.

Die erste bekannte Angriffswelle startete im November 2014 mit dem Download der Ransomware von den Websites pubbliemme.com, agatecom.fr, n23.fr und baselineproduction.fr. Es folgten weitere Websites: breteau-photographe.com, voigt-its.de, maisondessources.com, jbmsystem.fr, pleiade.asso.fr und scolapedia.org. Dabei wurden teilweise die Server-Hostnamen variiert, aber nicht die Server-IP-Adressen. Die meisten herkömmlichen Sicherheitsprogramme konnten die Malware zum Start der Angriffswelle nicht erkennen, also zu spät für viele Benutzer, die bereits Daten verloren haben. Und es droht weiterhin Gefahr: Palo Alto Networks hat allein gestern 147 neue Vertreter dieser Malware entdeckt, wovon zwei für herkömmliche Sicherheitslösungen völlig unsichtbar sind.

„Effektiven Schutz vor CTB-Locker und vergleichbarer Schadsoftware bieten Next-Generation-Sicherheitslösungen, die auch unbekannte Bedrohungen erkennen und stoppen, bevor diese aktiv werden“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto  Networks. „Wo noch herkömmliche Sicherheitsprodukte zum Einsatz kommen, empfehlen wir ein Update der SHA256 Hashes. Dazu haben wir Listen in Textdateiformat veröffentlicht, die auf unserer Website zu finden sind.“

Die Enterprise-Security-Plattform von Palo Alto Networks war bereits zu Beginn der ersten Angriffswelle dieser Art in der Lage, die Ransomware zu erkennen und abzuwehren. Entscheidend ist hierbei die Integration zwischen Netzwerk, Endpunkten und Cloud, um die Sicherheit zu maximieren. „Da davon auszugehen ist, dass die Angriffe in Zukunft kaum weniger anspruchsvoll sein werden, ist es an der Zeit, mit einer zeitgemäßen integrierten Sicherheitsplattform darauf zu reagieren. Eine Aufrüstung von herkömmlichen Sicherheitslösungen auf echte präventionsbasierte Sicherheit scheint spätestens jetzt unausweichlich“, so das Fazit von Thorsten Henning.