Ärzte und Patienten auf der ganzen Welt, nehmen Sie sich in Acht: Cyberkriminelle haben ein neues Familienmitglied. Ungeachtet ihres zarten Alters hat die nur einen Monat alte Ransomware schon Daten von zwei amerikanischen Krankenhäusern verschlüsselt und ihren Entwicklern 15.000 EUR eingebracht.
Das „Kind“ wurde auf den Namen „Locky“ getauft, und erlangte schnell internationale Bekanntheit. Der Grund hierfür? Locky infizierte die Krankenakten des Hollywood Presbyterian Medical Center in Los Angeles. Das Krankenhaus war von der Attacke lahmgelegt worden und musste schlussendlich 15.000 EUR zahlen, um seine Gesundheitsakten zurückzubekommen.
#Locky #Ransomware Borrows Tricks from Dridex via @threatpost https://t.co/4VRyAas6pY pic.twitter.com/JO43afN7hq
— Kaspersky (@kaspersky) February 18, 2016
Lockys neues Opfer — das Methodist Hospital in Henderson, Kentucky — ist eine Akutversorgungseinrichtung mit 217 Betten. Um die weitere Verbreitung des Virus zu verhindern, musste das Krankenhaus alle PCs im Netzwerk ausschalten. Seitens der Administration kooperiert das Krankenhaus mit dem FBI und überprüft jedes Gerät einzeln auf Vireninfektionen. Es kann sein, dass einige Daten mithilfe von Sicherheitskopien wiederhergestellt werden können. Im Gegensatz zum zuvor genannten Angriff auf ein Krankenhaus beläuft sich die Lösegeldforderung in diesem Fall „nur“ auf 1.400 EUR. Nichtsdestoweniger geben Vertreter des Methodist Hospital an, dass das Geld nur im schlimmsten Fall gezahlt wird.
https://twitter.com/JGavin14News/status/711956381637726209
In Kentucky nahm das Unheil mit Locky wie üblich mit einem Brief seinen Lauf. Letzten Freitag erhielt ein Mitarbeiter des Krankenhauses eine Phishingmail und klickte auf deren Dateianhang, der wiederum die Ransomware vom Server der Kriminellen herunterlud und so Locky Zugang zum Netzwerk verschaffte. Der Trojaner kopierte alle Dateien des Gerätes, verschlüsselte diese und löschte die Originaldaten. Gleichzeitig breitete sich die Ransomware im Unternehmensnetzwerk aus — ein Prozess, der sich nur stoppen ließ, indem die Computer ausgeschaltet wurden.
Anfangs wurde Locky mithilfe von .doc-Dateien mit Schadcode übertragen, die den Trojaner von Fernservern herunterluden. Später änderten die Straftäter ihre Taktik und wechselten zu .zip-Ordnern mit JavaScript, die ebenfalls den Trojaner vom Server der Kriminellen herunterluden und starteten. Die meisten der bösartigen Briefe waren auf Englisch geschrieben, aber es gab auch E-Mails, die in zwei Sprachen verfasst wurden.
#Hospitals are under attack… what's at risk? https://t.co/b1WYjQgpfY via @61ack1ynx #Infosec pic.twitter.com/euuJ8041U0
— Kaspersky (@kaspersky) March 24, 2016
Nach Angaben von Kaspersky Security Network, greift Locky vorwiegend Nutzer aus Deutschland, Frankreich, Kuwait, Indien, Südafrika, den USA, Italien, Spanien und Mexiko an. Unseres Wissens nach sind weder Russland noch die GUS-Länder ein Angriffsziel des Trojaners.
#Ransomware #Locky: wie eine E-Mail zum Verlust aller Daten führen kann
Tweet
Auffällig ist, dass Locky ein besonders „neugieriger“ Trojaner ist, insofern dass er detaillierte Statistiken zu jedem einzelnen Opfer führt, was äußerst unüblich für eine Ransomware ist. Grund hierfür sind finanzielle Interessen der Straftäter: auf diese Weise können sie den Wert von verschlüsselten Dateien genauer bestimmen, um die Lösegeldforderungen individuell anzupassen und möglich großen Profit zu machen.
10 tips to protect your files from ransomware https://t.co/o0IpUU9CHb #iteducation pic.twitter.com/I47sPIiWFF
— Kaspersky (@kaspersky) November 30, 2015
Es ist unwahrscheinlich, dass Locky speziell für Krankenhäuser entwickelt worden ist. Sicherheitsexperten gehen fest davon aus, dass Kriminelle alle Nutzer ins Visier nehmen werden, die in hohem Maße von Daten abhängig sind, so wie Rechtsanwälte, Ärzte, Architekten und so weiter.
Zu guter Letzt weisen wir darauf hin, dass die Sicherheitslösungen von Kaspersky Lab Nutzer auf verschiedenen Ebenen vor Locky schützen:
- Das Antispam-Modul erkennt bösartige E-Mails von Cyberkriminellen im Vorfeld
- Der E-Mail- und Daten-Antivirus erkennt Upload-Skripte und warnt die Nutzer. Unsere Sicherheitslösungen führen diese Skripte mit der Bezeichnung Trojan-Downloader.MSWord.Agent, Trojan-Downloader.JS.Agent und HEUR:Trojan-Downloader.Script.Generic an
- Der Daten-Antivirus erkennt die ausführbare Datei und warnt Nutzer, dass der Trojan-Ransom.Win32.Locky entdeckt wurde.
- Das Systemagent-Modul in Kaspersky Internet Security wird sogar unbekannte Exemplare der Ransomware Locky erkennen und den Nutzer vorwarnen, dass PDM:Trojan.Win32.Generic entdeckt wurde.
Darüber hinaus wird die Verschlüsselung der Dateien auf Ihrer Festplatte durch den Trojaner verhindert, so dass weder Locky noch eine andere Ransomware Ihre Daten stehlen und verschlüsseln sowie Lösegeld fordern kann.