Jetzt patchen! Erpressungstrojaner Gandcrab frisst sich durch Confluence-Lücke

Die Angriffe auf Confluence weiten sich aus. Derzeit versuchen Angreifer verwundbare Systeme mit der Ransomware Gandcrab zu infizieren.

Die Wiki-Software Confluence ist in vielen Versionen verwundbar und Angreifer nutzen die "kritischen" Sicherheitslücken (CVE-2019-3395, CVE-2019-3396) derzeit aktiv aus. Sicherheitsforscher von Alert Logic haben nun neue Attacken beobachtet, bei denen Angreifer eine Schwachstelle als Schlupfloch für den Verschlüsselungstrojaner Gandcrab ausnutzen sollen.

Die Schwachstelle mit der Kennung CVE-2019-3396 findet sich im Widget Connector und Angreifer sollen aus der Ferne ohne Authentifizierung Code in _template injizieren können.

Um einer Entdeckung bei der Platzierung von Gandcrab zu entgehen, sollen sie auf mehrere legitime Standard-Tools und Windows PowerShell setzen. Klappt das alles, installiert sich der Schädling, verschlüsselt Dateien und fordert ein Lösegeld ein. Weitere Infos zu der Attacke haben die Sicherheitsforscher in einem Blog-Beitrag festgehalten.

Updaten
Abgesicherte Versionen sind bereits erhältlich. In einer Sicherheitswarnung geben die Entwickler an, die Lücken in den Ausgaben ab 6.6.12, 6.12.3, 6.13.3 und 6.14.2 geschlossen zu haben. Alle vorigen Versionen sind bedroht. Nutzer von Confluence Cloud sollen nicht betroffen sein. Bereits vergangene Woche kam es zu Angriffen auf verwundbare Confluence-Installationen.

Powershell als Angriffswerkzeug
Auf der bereits nächste Woche startenden heise-Security-Tour erklären Experten im Vortrag "Powershell für Angreifer: Was die Tools der Angreifer alles können und was Sie dagegen tun können" Hintergründe zum Einsatz von Microsofts Framework im Malwarebereich.

Quelle: Jetzt patchen! Erpressungstrojaner Gandcrab frisst sich durch Confluence-Lücke | heise online

Fake-Bewerbungsmails: Trojaner versteckt sich erfolgreich vor Antiviren-Software

Derzeit rollt eine neue Welle von Fake-Bewerbungen durch das Internet. Ziel ist es, den Erpressungstrojaner Gandcrab auf Computer zu bringen.

Wer dieser Tage eine E-Mail mit dem Betreff "Bewerbung für die ausgeschriebene Stelle" oder "Bewerbung auf Ihre Stellenausschreibung" erhält, sollte aufhorchen: Heise Security liegen mehrere Mails dieser Art vor, die ein Word-Dokument mitbringen, das einen Trojaner auf Windows-Computer holt. Vor allem Personaler sollten sich vor solchen Mails in Acht nehmen. Absender und Betreffzeile der Nachrichten variieren.

Gar nicht erst Öffnen!
Der Dateiname des Dokuments besteht aus Ziffern – beispielsweise 418177678.doc – und es ist mit Makros versehen. Wer die Datei öffnet, wird aufgefordert die Makros zu aktivieren, um die Kompatibilität zu gewährleisten und das Dokument lesen zu können.

Das sollte man auf gar keinen Fall machen! Ansonsten holt man sich den Erpressungstrojaner Gandcrab auf den PC, haben Sicherheitsforscher von Hornet Security herausgefunden. Die Makros öffnen ihnen zufolge ein verstecktes Terminal, um mit PowerShell Kommandos auszuführen und so Gandcrab herunterzuladen und auszuführen. Der Schädling verschlüsselt Dateien und fordert ein Lösegeld.

So wie es aussieht, sind die Makros für Microsoft Word ausgelegt. Heise Security hat das Dokument in LibreOffice geöffnet und die Makros hatten dort keine Funktion.

Unter dem Radar von AV-Software
Die Drahtzieher von dieser Kampagne nutzen einen simplen Trick, um das Word-Dokument an Antiviren-Software vorbeizuschmuggeln: Sie habe es schlicht mit einem Passwort versehen, sodass Virenscanner nicht rein gucken und den Makro-Code als böse einstufen können. Dementsprechend schlug zum Zeitpunkt der Meldung keiner der 58 Scanner der Analyseplattform Virustotal an.

Damit Opfer das Dokument öffnen können, haben die Drahtzieher das Passwort in die Mail geschrieben. Wer so eine Nachricht bekommt, sollte sie löschen und den Anhang am besten gar nicht erst herunterladen geschweige denn öffnen.

Quelle: Fake-Bewerbungsmails: Trojaner versteckt sich erfolgreich vor Antiviren-Software | heise online

Die Malware-Entwickler von GandCrab haben das Ende der Kampagne bekannt gegeben. Eigenen Angaben zufolge haben sie pro Woche 2,5 Millionen US-Dollar verdient.

Der Verschlüsselungstrojaner GandCrab hat seit Anfang 2018 Windows-Computer infiziert, Dateien verschlüsselt und Lösegelder eingefordert. Nun ist damit offenbar Schluss: Die Entwickler der Ransomware haben im Malware-Forum Exploit.in das Ende von GandCrab bekannt gegeben. Das berichten mehrere Sicherheitsforscher auf Twitter.

Eigenen Angaben zufolge haben Opfer Lösegelder in Höhe von insgesamt mehr als 2 Milliarden US-Dollar an die Kriminellen gezahlt, um so die Schlüssel für ihre Daten zu bekommen. Die Entwickler geben an, mit ihrer Masche pro Woche 2,5 Millionen US-Dollar verdient zu haben. Pro Jahr waren es 150 Millionen US-Dollar. Das Geld haben sie dem Statement zufolge in verschiedene legale Projekte investiert.

Blanker Hohn
Das Schreiben wirkt ziemlich arrogant: Unter anderem "bedanken" sie sich bei den Opfern für ihre Zusammenarbeit, bezeichnen sich als Nummer 1 im Ransomware-Bereich und verabschieden sich in den wohlverdienten Ruhestand. Ende Juni wollen sie den "Support" einstellen und alle Schlüssel der Opfer löschen. Sie rufen auch dazu auf, dass Dritte die Verbreitung des Schädlings stoppen sollen.

Wer durch GandCrab verschlüsselte Dateien auf seinem Computer hat, sollte statt zu zahlen erstmal das kostenlose Entschlüsselungstool "New GandCrab v5.1" ausprobieren, dass Bitdefender im Februar aktualisiert hat.

Die Drahtzieher der Maleware-Kampagne haben GandCrab über vielfältige Wege verteilt: So lauerte der Schädling unter anderem hinter Fake-Software-Cracks und in gefälschten Bewerbungsmails. Außerdem versuchte sich der Erpressungstrojaner durch verschiedene Sicherheitslücken zu fressen.

Nicht das erste Mal
Es kam schon öfter vor, dass Malware-Entwickler das Ende von Ransomware-Kampagnen verkündet haben. Im Fall von TeslaCrypt veröffentlichten sie sogar den Master-Schlüssel, sodass Opfer ohne Lösegeldzahlung wieder auf ihre Daten zugreifen konnten. Ob so eine Veröffentlichung auch bei GandCrab ansteht, ist bislang unklar.

Quelle: Erpressungstrojaner GandCrab geht offenbar in Rente | heise online

Ransomware: Entschlüsselungs-Tool für aktuelle GandCrab-Version verfügbar

Für Opfer des Verschlüsselungs-Trojaners GandCrab gibt es Hoffnung in Gestalt eines Gratis-Tools, das (nicht nur) der aktuellen Version 5.2 gewachsen ist.

Die Sicherheitssoftware-Firma Bitfdefender hat ihr kostenloses Entschlüsselungstool für den Erpressungstrojaner GandCrab aktualisiert. Der aktuelle "Bitdefender Decryptor" soll Dateien entschlüsseln können, die der GandCrab-Version 5.2 zum Opfer gefallen sind. Außerdem stellen laut Bitdefender auch die GandCrab-Versionen 1 und 4 kein Problem für das Tool dar.

Details zur Verwendung des Decryptors nennt Bitdefender in einem Blogeintrag, der auch einen Download-Link zum Tool selbst enthält. Alternativ ist das Tool auch über das Projekt "No More Ransom" verfügbar.

Auch im Ruhestand noch gefährlich
Bis vor kurzem jagte eine GandCrab-Warnung die nächste. 2018 verbreitete sich die Ransomware unter anderem mittels Software-Cracks und via Spam-Mails mit gefälschten Bewerbungs-Anhängen. Und erst im April dieses Jahres missbrauchten Angriffer eine Sicherheitslücke in Confluence, um den Trojaner auf Systeme zu schleusen.

Seit Anfang Juni 2019 befindet sich GandCrab offiziell "in Rente". In einem Untergrundforum kündigten die Entwickler der Schadsoftware an, bis Ende Juli alle auf ihren Servern gespeicherten Schlüssel der Opfer zu löschen.

Statt den Erpressern jetzt noch schnell das Lösegeld in den Rachen zu werfen, können Betroffene mit der aktualisierten Version des Bitdefender-Tools versuchen, ihre Daten kostenlos (und ohne zeitliche Befristung) zu retten.

Quelle: Ransomware: Entschlüsselungs-Tool für aktuelle GandCrab-Version verfügbar | heise online