Bislang war 2016 bereits ein hohes Maß an Viren-Traffic unterwegs. Hauptsächlich Ransomware und vor allem Locky, der millionenfach über das Necurs-Botnet verbreitet wurde. Die Analysten von AppRiver haben an manchen Tagen Malware-Spitzen beobachten können, die bei 10 und mehr Millionen lagen. Auch Malware-Traffic unterliegt Fluktuationen mit den üblichen Höhen und Tiefen, während der letzten drei Wochen waren es aber fast nur Tiefen. Innerhalb der vergangenen drei Wochen erreichten die Zahlen Werte von 3 bis 10 Millionen Mails mit schadhaften Anhängen. Das ist, verglichen mit den letzten Monaten, ein ausgesprochen starker Rückgang. Das änderte sich gegen Mittag des 21. Juni an dem die Analysten einen plötzlichen, starken Anstieg beim Viren-Traffic verzeichnen konnten.

Necurs

Necurs 2

Innerhalb von nur wenigen Stunden stieg der Malware-Verkehr rasant an und erreichte an diesem Tag eine Rekordmarke von etwas mehr als 80 Millionen. Wie andere Firmen ebenfalls vermuteten, hängt das vermutlich damit zusammen, dass das Necurs-Botnet am 1. Juni im Wesentlich offline ging. Dieses Botnetz wurde für die riesigen Mengen der sich im Umlauf befindenden Locky- und Dridex-Malware verantwortlich gemacht. Das Botnet wurde allerdings nicht ausgehoben oder anderweitig außer Gefecht gesetzt, sondern es hat quasi seine Kontrollfunktion über infizierte Computer eingestellt. Mit den Locky-Aktivitäten, die wir aktuell beobachten, und verglichen mit den Szenarien, die wir erst vor kurzem erlebt haben, sieht es ganz so aus, als sei Necurs wieder erstarkt und zurückgekehrt. Ob es sich dabei eher um ein vorübergehendes Ärgernis handelt oder um die dauerhafte Rückkehr in die Zeiten der “Normalität” vor dem 1. Juni, bleibt  abzuwarten.
Was die Aktivitäten selbst betrifft, erscheinen mehrere unterschiedliche Dateien mit der Endung .js, die sich nur im Format leicht unterscheiden. Diejenigen, die wir auf VirusTotal überprüft haben, hatten einen Zugriff von 2/54. Das heißt, dass nicht allzu viele der Antivirenhersteller die Datei selbst abfangen. Das sagt aber noch nichts darüber aus, ob die Antiviren-Lösung nicht bei einer anderen von der betreffenden Malware durchgeführten Aktion getriggert wird.

So weit es bisher ersichtlich ist speist sich der Malware-Verkehr, der diesen enormen Anstieg verursacht hat, aus Regeln, die innerhalb der letzten 3 Monate hinzugefügt worden sind. Einige Treffer gehen darauf zurück, dass die Malware mit der Endung .js zurückliegenden Malware-Kampagnen und  Aktivitäten so sehr ähnelt, während andere Regeln, die vielleicht schon vor längerer Zeit hinzugefügt wurden, erst jetzt wirksam werden.

Der Versuch, dem Malware-Aufkommen wenigstens einen Schritt voraus zu sein und sich auf potenziell auftretende Varianten einzustellen, zahlt sich durchaus aus. Dann nämlich, wenn man in der Lage ist eine komplette Kampagne schon mit der ersten Nachricht aufzuhalten. Analysten beobachten den Traffic natürlich dahingehend, um neue Varianten und auftretende Veränderungen möglichst frühzeitig zu erkennen.

SecureTide-Kunden sind im Übrigen vor Aktivitäten dieser Art geschützt.

 

Leave a Comment