zepto ransomware

Ransomware ist dieser Tage ziemlich populär. Ständig tauchen unzählige Varianten neu auf.

Eine der jüngsten erfolgreichen Kampagnen ist unter dem Namen Zepto bekannt geworden. Wir beobachten zahlreiche Dateitypen, die in Kampagnen dieser Art missbraucht werden. Dazu gehören Worddateien mit aktivierten Makros, .js Skript-Dateien, .wsf Windows-Skript-Dateien und so weiter. Jetzt haben wir aktuell ein Beispiel beobachten können, in dem ein eher wenig bekannter Dateityp verwendet worden ist, nämlich Dateien im .hta-Format.

Das Format ist an sich ein HTML-Format, das zusätzlich Browser-unterstütztes Skript enthält. Zwar haben wir auch in der Vergangenheit schon Kampagnen verfolgt, die diesen Dateitypus benutzen, er gehört aber nicht zu den gängigen. Die E-Mail-Nachrichten, um die es dabei geht sind wenig einfallsreich konzipiert und enthalten nicht viel mehr als die angehängte Zip-Datei. Trotzdem hat diese Vorgehensweise für Hacker einige Vorteile, insbesondere bei breit angelegten Kampagnen. Auf einen Copy-Text zu verzichten, erleichtert es beispielsweise Filtersysteme zu umschiffen. Man braucht auch keine überzeugende Geschichte, warum der Adressat nun unbedingt die Mail und den Anhang öffnen sollte.

In aller Regel können Angreifer immer noch darauf vertrauen, dass sich auch ohne ihre ausdrückliche Aufforderung genügend Neugierige finden, die auf den manipulierten Anhang klicken.

Der Inhalt der .hta-Dateien ist in Javaskript-Manier verschleiert, wie wir es von den bereits erwähnten .js- und .wsf-Malware-Dateien schon kennen. Diese Verschleierungsmethode macht den Code sehr verwirrend und für menschliche Nutzer so gut wie unleserlich. Trotzdem funktioniert er wie er soll und lässt sich, im Zielsystem angelangt, problemlos ausführen.

zeptoransomware2

Ein Mal ausgeführt beginnt die Malware erwartungsgemäß damit, Dateien auf dem Rechner des Opfers zu verschlüsseln. Die Malware ist mit einem Remote Command Server verbunden, von dem sie die eigentliche schädliche Fracht herunterlädt, sobald die .hta-Datei ausgeführt wird. Und sie ist mit einem weiteren Server verbunden, wo sie die Daten postet.

Das haben wir ausprobiert und eine der ersten Dateien, die verschlüsselt wurden, war die Outlook PST-Datei. Da der Angriffsvektor über eine E-Mail-Nachricht transportiert worden ist, mag das seine Vorteile haben. Die Methode sperrt beispielsweise Nutzer aus, die ausfindig machen wollen, aus welcher Quelle die Malware stammt oder die versuchen mehr Details herauszufinden. Zudem hat diese Vorgehensweise einen Nebeneffekt: Sie zeigt ziemlich deutlich wie wichtig die E-Mail-Kommunikation für die alltäglichen Geschäftsprozesse ist.

zepto ransomware 3

Wenn das alles gesagt und getan ist, sprich die Malware den beabsichtigten Schaden angerichtet hat, erscheint auf dem Rechner des Opfers eines der üblichen Pop-up-Fenster sowie eine HTML-Seite, die dem Nutzer die schlechte Nachricht überbringt nebst den Details zur Lösegeldforderung und den Zahlungsmodalitäten.

zepto ransomware 4

Stand heute haben wir rund 11,5 Millionen Nachrichten als Teil der Kampagnen gezählt. Ransomware ist einer der wichtigsten Gründe, warum man umfassende Backups durchführen und Sicherheitsmaßnahmen wirklich ernst nehmen sollte. Gerade in Anbetracht der rasanten und erfolgreichen Verbreitungsweise. Und auch diese Kampagne liefert wieder eines der einschlägigen Beispiele warum man eben nicht auf unbekannte Attachments klicken sollte. Und längst nicht alle in böswilliger Absicht verschickte E-Mails sind schlecht geschrieben. Das sollte man im Hinterkopf behalten.

Leave a Comment