Dridex Botnet zum wiederholten Male gehackt

wp_dridexZum wiederholten Male wurde innerhalb von drei Monaten ein Command und Controllserver bzw. ein Subnetz des Dridex Botnetz durch Unbekannte gehackt. Unter anderem war der Botnetz-Server für Spam-Kampagnen verantwortlich. Zuletzt sollte er über infizierten Javascript-Code die Ransomware Locky auf die Systeme der Anwender bringen. Diese Ransomware wurde nun gegen eine harmlose Datei mit einer klaren Botschaft STUPID LOCKY – “Dummer Locky” ausgetauscht.

Den Experten von Avira viel diese 12kb große Datei in die Hände, welche den Text “Stupid Locky” enthielt:

Bildschirmfoto 2016-05-06 um 14.00.10

Bild: blog.avira.com

Möglicherweise haben hier White-Hat-Hacker oder rivalisierende Kriminelle die Finger im Spiel – Avira Forscher Sven Carlsen glaubt allerdings nicht, dass Cyber-Kriminelle selber diesen Vorgang eingeleitet haben, letztendlich würde das sicherlich den eigenen Ruf und damit auch sichere Einnahmen beeinträchtigen.

Dridex wurde in den vergangenen Jahren vor allem als Banking-Trojaner über infizierte Word-Dokumente ausgeliefert und hat damit beachtliche Schäden bei seinen Opfern verursacht. Dabei wurden E-Mails täuschend echt in verschiedenen Sprachen mit vollständigen Signaturen von Mitarbeitern existierender Unternehmen verfasst (Beitrag: Spearphishing). Im Oktober 2015 ist den amerikanischen und britischen Polizeibehörden ein großer Schlag gegen das Botnetz-Dritex und deren Hintermänner gelungen. Dabei konnten aber nur Teile der Botnetz-Bedrohung ausschalten werden. Anfang des Jahres lieferte Dridex, nach einer Kompromittierung des Servers statt dem Banking-Trojaner, dann eine legitim Version der kostenlosen Antiviren-Lösung von Avira aus.

Experten meinen, das der Vorfall kein “Test” ist und auch, dass die Ransomware Locky nicht “tot” zu sein scheint. Vielmehr das Unbekannte bzw. White Hats mit der Aktion aufzeigen, dass Cyber-Kriminelle selbst auch nicht vor Angriffen sicher sind.

Doch Vorsicht: Zuletzt ist das Dridex-Botnetz mit der Auslieferung der gefährlichen Ransomware Cryptowall und Locky in Erscheinung getreten. Zu denen es zur Zeit keinerlei kostenfreie Lösungen der Wiederherstellung gibt.

Angst und Einschüchterung ist die Motivation der Kriminellen: Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und Polizeibehörden an und raten dringend davon ab, hier das Lösegeld an die Cyberkriminellen zu bezahlen!

Maßnahmen wie Sie den Rechner schützen können

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu Clonezilla an, oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nichtaufintegrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  6. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  7. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
  8. Verhaltensbasierter Antiviren-Schutz wie der Malwarebytes Anti-RansomEmsisoft Anti-Malware und HitmanPro.Alert von Surfright bieten einen starken Schutz gegen aktuelle und künftige Bedrohungen von Ransomware.

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.

Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden.

Bild: freedigitalphotos.net; blog.avira.com