Die Folgen der OPM-Datenpanne: Locky nutzt Daten der Opfer

In der ersten Hälfte dieses Jahres war der Locky-Virus eins der aktivsten Cyberinfizierungen. Wegen seiner ausgeweiteten Herangehensweise bei der Verbreitung wird erwartet, dass der Virus seine Führungsposition nicht in absehbarer Zeit aufgibt. Derzeitige Schätzungen zufolge tragen 97% aller schädlichen E-Mail-Anhänge Locky in sich oder eine seiner modifizierten Versionen, worunter sich der Thor-, Shit– und der Perl-Virus befinden und möglicherweise weitere noch unbekannte Versionen.

In Bezug auf die Verbreitung- und Infiltrierungsmethoden von Locky wäre es falsch zu sagen, dass man nicht jeden Tag etwas Neues lernt. Anfang November zum Beispiel haben Virenanalysten entdeckt, dass eine weitere große Malvertising-Aktion ShadowGate nun zwei Versionen von Locky über das Exploit-Kit Bizarro Sundown verbreitet, welches ein weiterer Zugang zu den Kits Angler und Rig ist, die die Locky-Entwickler anfänglich für ihre Virenverbreitung nutzten. Die für normale Computernutzer wahrscheinlich wichtigste Entdeckung wurde jedoch von dem PhishMe-Team gemacht.

Die Forscher von PhishMe haben eine neue Taktik der Hacker entdeckt, bei der sie ihre Opfer dazu bringen E-Mail-Anhänge mit Locky herunterzuladen. Die Experten nennen es OPM Bank Fraud (zu Deutsch: OPM-Bankbetrug) oder einfach OPM-Scam. OPM steht für US Office of Personnel Management, eine Institution, worunter die Hacker ihren potenziellen Opfern eine betrügerische Mitteilung zukommen lassen und vor angeblichen Finanzverbrechen warnen. Die Mitteilung sieht wie folgt aus:

Dear [NAME],
Carole from the bank notified us about the suspicious movements on out account. Examine the attached scanned record. If you need more information, feel free to contact me.

Die E-Mail wird von einer ZIP-Datei begleitet, die die infizierende JavaScript-Datei verbirgt. Der Computernutzer muss die Datei nur öffnen und schon beginnt der Download von Locky. Interessant ist, dass der Virus insbesondere die Opfer von der OPM-Datenpannen, die im Jahre 2014 und 2015 für Aufregung gesorgt haben, angreift. Die Ersteller von Locky machen sich die Furcht der ehemaligen Opfer des Internetverbrechens zunutze, um deren Computer zu infizieren. Die Hacker bereits über 323 einzigartige Namen für die Anhänge verwendet, um die Spuren zu verwischen. Der Virus wurde zudem von 78 verschiedenen URLs heruntergeladen. Solche Praktiken erschweren die Erkennung und Prävention solcher Viren und bringen das Verbreiten von Erpressungsprogrammen auf ein komplett anders Niveau. Firmenbesitzern wird daher dringendst geraten die Mitarbeiter entsprechend über Sicherheitsvorkehrungen aufzuklären und zuverlässige Datensicherungslösungen zu wählen.