Neues von Locky: Der Erpressungstrojaner greift jetzt massenhaft Krankenhäuser an
Die Drahtzieher hinter Locky verlegen sich von X-beliebigen Internetnutzern auf Firmen. Vor allem Krankenhäuser haben sich als lukratives Ziel erwiesen.
- Fabian A. Scherschel
Ende Mai sah es noch so aus, als wäre Locky spurlos aus dem Netz verschwunden, dann meldete sich der Erpressungstrojaner keinen Monat später fulminant zurück. Nun greifen Kriminelle gezielt Krankenhäuser an – momentan vor allem in den USA und in Asien. Anstatt Javascript-Anhängen enthalten deren Spam-Mails nun .docm-Dateien, also Makro-fähige .docx-Dokumente. Die Makros enthalten dabei Schadcode, der den Erpressungstrojaner auf das System des Opfers läd, wie die Sicherheitsfirma FireEye berichtet.
Die Spam-Kampagne gibt sich wohl relativ viel Mühe, Mitarbeiter in den einzelnen Krankenhäuser gezielt anzusprechen. Die Forscher haben personalisierte Mails für jede der verschiedenen Ziel-Organisationen entdeckt. Neben Krankenhäusern wurden aber auch Firmen aus anderen Geschäftszweigen angegriffen. Die Beobachtungen scheinen darauf hinzudeuten, dass sich die Drahtzieher hinter Locky von Massenangriffen auf alle Internetnutzer hin zu gezielten Attacken auf lukrativere Ziele verlegt haben. Immer noch steht Deutschland auf Platz 6 der Spam-Ziele.
FireEye hat ebenfalls beobachtet, dass die Gruppe hinter den Angriffen sich mehr und mehr auf Locky konzentrieren zu scheint. Angriffe mit dem Banking-Trojaner Dridex, der ebenfalls von den selben Kriminellen stammen soll, lassen demnach nach. Die Sicherheitsfirma vermutet deshalb, dass Erpressungstrojaner mittlerweile lukrativer sind als Banking-Malware. (fab)