Ransomware-Warnung von Trend Micro

TorrentLocker verbreitet sich nun auch über Dropbox



Andreas Th. Fischer ist freier Journalist im Süden von München. Er verfügt über langjährige Erfahrung als Redakteur bei verschiedenen IT-Fachmedien, darunter NetworkWorld Germany, com! professional und ChannelPartner. Seine fachlichen Schwerpunkte liegen in den Bereichen IT-Security,  Betriebssysteme, Netzwerke, Virtualisierung, Cloud Computing und KI. Über diese Themen schreibt er auch für Smokinggun.de.
Trend Micro weist auf eine neue Ransomware-Variante hin, die vermeintlich harmlose Dropbox-Links verwendet, um sich auf fremden PCs einzuschleichen. Anwender in Deutschland sind besonders stark betroffen.

Die Entwickler der Ransomware TorrentLocker haben sich eine neue Variante einfallen lassen, um PCs von Privatanwendern und in Firmen zu verseuchen. Wie bislang verbreitet sich der Erpresser-Trojaner vor allem mit Hilfe von Spam-Mails. Statt einem Anhang enthalten diese Nachrichten aber nun einen Link zu einer angeblichen Rechnung beispielsweise eines Lieferanten oder der Firma des Empfängers. Dieser Link führt zu Dropbox.

Die Ransomware TorrentLocker verbreitet sich nun auch über Dropbox-Links.
Die Ransomware TorrentLocker verbreitet sich nun auch über Dropbox-Links.
Foto: Nicescene - shutterstock.com

Klicken die Anwender auf den Link und führen sie die heruntergeladene Datei anschließend aus, infizieren sie ihren Computer mit TorrentLocker. Trend Micro hat die neue Variante entdeckt und nach eigenen Angaben mehr als 800 kompromittierte Dropbox-Accounts aufgespürt, die aber mittlerweile bereinigt werden konnten. Durch die Nutzung des Dropbox-Links kann TorrentLocker die in vielen Firmen installierten E-Mail-Security-Gateways umgehen: Die Mails enthalten keinen Anhang und der Link kommt von einer meist als legitim eingestuften Webseite.

Beispiel für TorrentLocker-Mail
Beispiel für TorrentLocker-Mail
Foto: Trend Micro

Infektion mit Hilfe von Javascript-Dateien

Wenn der Empfänger auf den Trick hereinfällt, dann lädt er zunächst eine Javascript-Datei herunter. Startet er diese Datei, wird ein zweites Javascript ausgeführt, das dann TorrentLocker installiert. Innerhalb von etwa einer Woche entdeckte Trend Micro knapp 55.000 Mails mit Dropbox-Links. Der Großteil der Angriffe erfolgte in Europa. Am stärksten betroffen waren deutsche und norwegische Anwender.

Verbreitung von TorrentLocker-Mails
Verbreitung von TorrentLocker-Mails
Foto: Trend Micro

Interessant an dieser neuen Welle ist, dass die Angreifer ihre Mails vor allem werktags und dann auch meist nur zwischen 9 und 10 Uhr morgens verschicken. Also zu Arbeitsbeginn, wenn viele Mitarbeiter in Unternehmen ihre über Nacht aufgelaufenen Nachrichten durchgehen.

Als wichtigste Gegenmaßnahmen empfiehlt Trend Micro Schulungen der Mitarbeiter, die verdächtige Inhalte wie enthaltene URLs oder die Absender prüfen sollten. Außerdem sollten sie keine Anhänge herunterladen und nicht auf eingebettete Links klicken. Es sei denn, sie sind sich ganz sicher, dass die Quelle legitim ist.

Empfehlenswert sei auch eine gute Backup-Strategie nach dem 3-2-1-Prinzip: Mindestens drei Backup-Kopien, von denen zwei in unterschiedlichen Speichermethoden (zum Beispiel intern und auf Mechselmedien) sowie eine außerhalb des Unternehmens erfolgen sollte.

Zur Startseite