Cerber-Ransomware: Vermehrt Angriffe in Deutschland

Cerber ist eine sehr moderne Ransomware und verwendet besondere Angriffstaktiken. Ein BSI-Dossier hilft Unternehmen beim Umgang mit der Gefahrenlage.

Im Juli 2016 legte das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein neues Lagedossier zum Thema Ransomware vor. Dort arbeitet das BSI die große Menge an Cyberattacken mit Verschlüsselungstrojanern seit Angang des Jahres auf. Die Anzahl der Angriffe stieg allein vom Januar bis zum Mai 2016 um 70 Prozent.

Neu im Dossier ist die Gefahr durch Cerber, eine neue Ransomware-Familie, die laut BSI seit Mai 2016 besonders häufig in Deutschland auftritt. Der Schädling ist gefährlich und hat in der Vergangenheit bereits in anderen Ländern wie der Türkei und den USA zahlreiche Opfer gefunden.

Cerber – die neue Gefahr

Untersuchungen zeigen, das Cerber besondere Angriffstaktiken verwendet und sich langsam mit niedriger Aktivität stufenweise an sein Ziel heranschleicht. Dabei bleibt der Schädling immer wieder zeitweise passiv, um nicht erkannt zu werden und Schutzmechanismen auszuweichen.

Ähnlich wie Locky (siehe auch: So arbeitet der Erpressungstrojaner Locky) verbreitet sich Cerber über Phishing-E-Mails mit schädlichen Anhängen. Das BSI stellt in einer Umfrage fest, dass in 75 Prozent der erfolgreichen Ransomware-Angriffe der Schadcode durch Attachments übertragen wurde. Im konkreten Fall wird die Nutzerin oder der Nutzer aufgefordert, ein Makro zu aktivieren, wodurch die Malware dann freigesetzt wird.

Cerber ist in vielerlei Hinsicht eine moderne Ransomware und fällt in ein entsprechendes Muster: Die Spam-E-Mails werden durch Social Engineering getarnt; sobald es einen Host erreicht, kopiert sich Cerber und nistet sich in verschiedenen Orten ein.

Dann versucht es über verschiedene Parameter mit den Kopien zu kommunizieren; die Angriffe selbst werden über Windows-Binaries ohne Parameter ausgeführt. Dazu werden die Codes in den explorer.exe-Task injiziert und dabei werden aktuell die Apps adaptertroubleshooter.exe und bthudtask.exe genutzt, um die Verschlüsselungsprozesse zu tarnen. Es ist durchaus möglich, das diese Prozesse in der Zukunft durch die Angreifer verändert werden, um sie besser vor Schutzvorrichtungen zu verstecken.

Cerber erstellt zusätzliche DLLs (Dynamic Link Libraries) zum Informationsaustausch. Nachdem der Verschlüsselungsprozess begonnen hat, löscht Cerber die Schattenkopien der Dateien, um eine Wiederherstellung unmöglich zu machen. Weiter beeinflusst es den Bootvorgang, um Rettungsversuche in jedem Fall auszuschließen. Die Daten werden mit AES-265- und RSA-Verschlüsselungsstandards chiffriert und gelten momentan als nicht knackbar. Die Warnmeldungen von Cerber werden über Notepad und Google Chrome ausgegeben und am Ende der Verschlüsselung löscht sich der Schädling selbst, hinterlässt aber einen Watchdog, um mögliche Versuche von Gegenmaßnahmen zu unterbinden.

Kritisch ist die ungewöhnliche Anzahl von Unmodified-Windows-Operating-System Prozessen, die Cerber einsetzt. Diese werden von vielen Sicherheitslösungen nicht als schädlich erkannt und sind an sich legitim. Weiter schützt eine einfache Verweigerung der Makroausführung durch den Anwender nicht vor einer Infektion, denn die Ransomware kennt Mittel und Wege, um in diesem Fall die User Access Control (UAC) zu umgehen und sich privilegierte Zugriffsrechte zu erschleichen.

Sieben Ransomware-Familien in Deutschland aktiv

Cerber ist das jüngste Mitglied in der Gruppe der Ransomware-Familien und da die Analyse hier erst am Anfang steht und Cyberkriminelle ihren neuen Schädling mit sehr geringem Aufwand anpassen können, ist dieses als problematisch anzusehen. Andere Verschlüsselungstrojaner wie TeslaCrypt wurden bereits untersucht und es stehen zumindest für ältere Versionen Tools für Opfer zur Verfügung, um ihre Daten nach einem Angriff wiederherzustellen.

Allerdings reagieren die Angreifer extrem schnell: Nachdem die Verschlüsselung für TeslaCrypt 3.0 im Februar 2016 geknackt wurde, gingen die Infektionen trotz anhaltender Angriffswellen rapide zurück – die Angreifer wechselten auf TeslaCrypt 4.0 und tauschten die Malware einfach umgehend aus.

„Cerber ist das jüngste Mitglied in der Gruppe der Ransomware-Familien. Cyberkriminelle können ihren neuen Schädling mit sehr geringem Aufwand anpassen.“

Mirco Kloss, Check Point Software Technologies GmbH

 Dies zeigt, wie organisiert und strukturiert Cyberverbrechen mittlerweile sind (siehe auch Ransomware: Die Malware-as-a-Service-Infrastruktur dahinter). Die Angreifer sind in Lage, ihre Vorgehensweise effizient anzupassen und überlassen nichts dem Zufall. Aktuell wüten damit laut BSI in Deutschland sieben Ransomware-Familien: Locky, TeslaCrypt, Nemucod, CryptoWall, CTB-Locker, Petya und eben Cerber.

Diese Zahl kann aber noch steigen, denn genau wie Cerber zuvor im Ausland bereits aktiv war, werden wahrscheinlich auch andere noch nicht bekannte Schädlinge für gezielte Attacken in der Bundesrepublik eingesetzt werden. Außerdem wird bestehende Malware ständig weiterentwickelt und angepasst, welches einerseits zur besseren Tarnung, aber auch zur Verstärkung der Durchschlagskraft dient.

Fazit

Das BSI stellt im Dossier konkrete Vorschläge vor, die Unternehmen eine erste Grundlage für Maßnahmen zum Umgang der aktuellen Gefahrenlage an die Hand gibt. Die Umfragen des BSI zeigen, dass die meisten Organisationen bereits reagiert haben und Sicherheitsmechanismen entsprechend angepasst wurden. Gleichzeitig wurden Mitarbeiterinnen und Mitarbeiter besser sensibilisiert und integriert, was ein wichtiger Baustein in der Prävention ist.

Das BSI rät Firmenm sich externen Rat einzuholen und bei Herstellern von Sicherheitslösungen nach zusätzlichen Schutzmöglichkeiten und spezifischen Konfigurationsempfehlungen nachzufragen. Dies hat oberste Priorität, denn eine Lösung von der Stange gegen Ransomware gibt es nicht. Organisationen brauchen Schutzmechanismen, die mehrschichtig ineinander greifen und genau auf die individuelle Situation abgestimmt sind.

Über den Autor:
Mirco Kloss ist Sales Manager Threat Prevention Central Europe bei Check Point Software Technologies GmbH.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juli 2016 aktualisiert

Erfahren Sie mehr über Malware, Viren, Trojaner und Spyware

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close