Nuclear Exploit-Kit bombardiert hunderttausende Rechner mit Locky
Ransomware wird im großen Stil über Exploit-Kits verteilt. Sicherheitsforschern ist es jetzt gelungen, ins Backend einer solchen Schadcode-Schleuder einzudringen und Statistiken über die Verbreitung der Trojaner zu sammeln.
- Fabian A. Scherschel
Das Exploit-Kit Nuclear ist einer Analyse von Sicherheitsforschern zufolge ein wesentlicher Faktor in der aktuell grassierenden Epidemie von Verschlüsselungstrojanern. Das Exploit-Kit an sich treibt seit mindestens fünf Jahren sein Unwesen und macht immer wieder Schlagzeilen, zum Beispiel wenn über Werbebanner auf eigentlich vertrauenswürdigen Seiten die Rechner von ahnungslosen Besuchern infiziert werden. Aktuell wurden darüber mindestens 140.000 Rechner mit Kryptotrojanern infiziert; allem vorweg mit Locky.
(Bild: Checkpoint)
Diese Zahl stammt von Sicherheitsforschern der Firma Checkpoint, denen es gelang, in die Server der Betreiber des Exploit-Kits einzudringen und dort Statistiken über deren Kunden zu sammeln. Online-Ganoven können die zwielichtigen Dienste der Betreiber des Exploit-Kits buchen und so den Opfern, deren Rechner mit dem Schadcode infiziert wurden, ihre eigene Payload gegen Geld unterschieben. Im Zeitraum der Untersuchung war Locky besonders beliebt, TeslaCrypt belegt mit großem Abstand den vierten Rang.
Die Sicherheitsforscher meldeten dem Hosting-Provider, auf dessen Systemen die Command-and-Control-Server untergebracht waren, die entsprechenden IPs und dieser legte so einen großen Teil der Nuclear-Infrastruktur trocken. Kurz darauf waren die Betreiber allerdings auf neue Server umgestiegen. Die über Nuclear verteilten Trojaner sind höchstwahrscheinlich auch nur die Spitze des Eisbergs, da Checkpoint nur einen relativ kurzen Zeitraum untersucht hat. Außerdem gibt es weiter verbreitete Exploit-Kits – wie etwa Angler – die ebenfalls Krypto-Trojaner verteilen. (fab)
