Was ist Dridex-Malware?
Dridex ist eine bösartige Software (Malware), die es auf Bank- und Finanzzugänge abgesehen hat, indem sie Makros in Microsoft Office nutzt, um Systeme zu infizieren. Sobald ein Computer infiziert ist, können Dridex-Angreifer Bankdaten und andere persönliche Informationen auf dem System stehlen, um sich Zugang zu den Finanzdaten eines Benutzers zu verschaffen.
Dridex funktioniert, indem es zunächst als bösartige Spam-E-Mail mit einem Microsoft Word-Dokument im Anhang auf dem Computer eines Benutzers landet. Wenn der Benutzer das Dokument öffnet, löst ein in das Dokument eingebettetes Makro heimlich einen Download der Dridex-Banking-Malware aus, so dass diese zunächst Bankdaten stehlen und dann versuchen kann, betrügerische Finanztransaktionen durchzuführen.
Eine Weiterentwicklung von Cridex und ZeuS
Dridex ist eine Weiterentwicklung der Cridex-Malware, die wiederum auf der ZeuS-Trojaner-Malware basiert. Die Banking-Malware Dridex verbreitete sich zunächst Ende 2014 über eine Spam-Kampagne, die täglich bis zu 15.000 E-Mails generierte. Die Angriffe konzentrierten sich in erster Linie auf Computersysteme im Vereinigten Königreich.
Der Cridex-Trojaner verbreitet sich, indem er sich auf zugeordnete und entfernbare Laufwerke auf infizierten Computern kopiert. Cridex schafft auf infizierten Systemen eine Hintertür, über die zusätzliche Malware heruntergeladen und ausgeführt werden kann, sowie Operationen wie das Öffnen von betrügerischen Websites.
Durch die letztgenannte Fähigkeit kann Cridex die Bankdaten von Benutzern auf einem infizierten System abfangen, wenn der Benutzer versucht, eine Finanz-Website zu besuchen und sich dort anzumelden. Cridex leitet den Benutzer heimlich auf eine betrügerische Version der Finanz-Website um und zeichnet die Anmeldedaten auf, während sie eingegeben werden.
Ist Dridex nachweisbar?
Wie bei der Emotet-Malware gab es auch bei Dridex viele Iterationen. Im Laufe des letzten Jahrzehnts wurde Dridex einer Reihe von Funktionserweiterungen unterzogen, darunter der Übergang zu XML-Skripten, Hashing-Algorithmen, Peer-to-Peer-Verschlüsselung und Peer-to-Command-and-Control-Verschlüsselung. Wie bei Emotet stellt jede neue Version von Dridex einen weiteren Schritt im globalen Wettrüsten dar, da die Sicherheitsgemeinschaft mit neuen Erkennungs- und Entschärfungsmaßnahmen reagiert“, schreiben die Forscher.
Es wird angenommen, dass Dridex noch weitere Varianten erfahren wird. „Angesichts der taggleichen Bereitstellung und Implementierung der ssl-pertcom-Domain am 26. Juni und der Tendenz, zufällig generierte Variablen und URL-Verzeichnisse zu verwenden, ist es wahrscheinlich, dass die Akteure hinter dieser Variante von Dridex die Indikatoren während der laufenden Kampagne weiter verändern werden“, so der Bericht.
Licht am Ende des Tunnels?
Am 05. Dezember 2019 gab das FBI die Anklageerhebung gegen zwei russische Staatsangehörige im Rahmen einer Malware-Verschwörung bekannt.
Zusammen mit mehreren Mitverschwörern werden Maksim V. Yakubets und Igor Turashev beschuldigt, Zehntausende von Computern mit einem Schadcode namens Bugat infiziert zu haben. Einmal installiert, ermöglichte der auch als Dridex oder Cridex bekannte Code den Kriminellen, Bankdaten zu stehlen und Geld direkt von den Konten der Opfer abzuheben. Die seit langem andauernde Masche umfasste eine Reihe verschiedener Code-Varianten, und eine spätere Version installierte auch Ransomware auf den Computern der Opfer. Die Kriminellen verlangten dann eine Zahlung in Kryptowährung für die Rückgabe wichtiger Daten oder die Wiederherstellung des Zugriffs auf kritische Systeme.
Turashev und Yakubets wurden beide im Western District of Pennsylvania unter anderem wegen Verschwörung zum Betrug, Drahtbetrug und Bankbetrug angeklagt. Yakubets wurde außerdem im District of Nebraska wegen Verschwörung zum Bankbetrug angeklagt, nachdem die Ermittler ihn mit dem angeklagten Namen „Aqua“ aus diesem Fall in Verbindung bringen konnten, bei dem es um eine andere Malware-Variante namens Zeus ging.
Lesen Sie hier den vollständigen Artikel
Wie Sie Ransomware verhindern können
Es gibt eine Reihe von Abwehrmaßnahmen, die Sie ergreifen können, um eine Ransomware-Infektion zu verhindern. Diese Schritte sind natürlich allgemein gute Sicherheitspraktiken, so dass ihre Befolgung Ihre Verteidigung gegen alle Arten von Angriffen verbessert:
- Patching – Halten Sie Ihr Betriebssystem gepatcht und auf dem neuesten Stand, um sicherzustellen, dass Sie weniger Schwachstellen haben, die Sie ausnutzen können.
- Anwendungs-Weißliste – Installieren Sie keine Software und geben Sie ihr keine Verwaltungsrechte, wenn Sie nicht genau wissen, was sie ist und was sie tut. Stellen Sie sicher, dass Sie eine Liste der zugelassenen Anwendungen für das gesamte Unternehmen führen.
- Antiviren-/Malware-Dienst: Verwenden Sie einen Dienst, der schädliche Programme wie Ransomware erkennt, sobald sie eintreffen. Einige bieten Whitelisting-Funktionen, die verhindern, dass nicht zugelassene Anwendungen überhaupt ausgeführt werden.
- Erweitern Sie Ihren Schutzbereich: Verwenden Sie einen E-Mail- und Social-Media-Filterdienst, vorzugsweise auf Cloud-Basis. Dadurch werden bösartige Anhänge und Dateien erkannt, und viele Dienste wie Spambrella scannen auch URLs auf bösartige Akteure.
- Verwenden Sie den 3:2:1-Ansatz. Erstellen Sie drei Sicherungskopien auf zwei verschiedenen Datenträgern und speichern Sie eine Kopie sicher außerhalb des Standorts auf einem Gerät, das nicht vernetzt oder über das Internet zugänglich ist
Alles, was Sie über Phishing wissen müssen…
E-Mail-Spoofing: Was es ist und wie man es verhindert
Michiganer Praxis Brookside ENT schließt nach Ransomware-Angriff