Schädliche Werbung und Crypto-Ransomware - eine explosive Mischung!

news-ads-ransomware.jpg

Einige Kriminelle missbrauchen Online-Werbenetzwerke, um schädliche Software (Malware) zu verbreiten. Diese Art von Angriffen ist nicht neu, dafür aber folgenschwer. Man braucht nicht auf ein infizierter Anhang zu klicken, sondern die Malware wird über die angezeigten Werbebanner, auch Adverts oder kurz Ads, gestartet, um dann eine oder mehrere Sicherheitslücken des Browsers des Opfers zu nutzen.

Auch wenn die Betreiber das Problem in der Regel schnell beheben, kann ein solcher Angriff trotzdem hohen Schaden anrichten, da die Anzahl der Opfer erstaunlich hoch sein kann. Anhand eines kürzlich dagewesenen Falles erteilt BEE SECURE Ihnen praktische Ratschläge, um sich vor solchen Angriffen zu schützen.

 

Der Fall

Am 14. März 2016 wurden Zehntausende von Internetusern von einer „Crypto-Ransomware“ befallen, die über Ads auf sehr beliebten englischsprachigen Internetseiten verteilt wurde. 

Das Problem wurde gemeldet und sofort behoben. Auf den betroffenen Seiten werden diese Ads also nicht mehr angezeigt, aber es gibt keine Garantie dafür, dass sich solche Angriffe in Zukunft nicht wiederholen.

 

Wie konnte diese „Ransomware“ über die Werbebanner verteilt werden?

In der Regel verkaufen die Betreiber von Internetseiten Werbeflächen an Agenturen, die Werbemittel vertreiben. Im Rahmen des Angriffs vom 14. März 2016 sollte die „Crypto-Ransomware“ TeslaCrypt verteilt werden. Hierzu haben sich die Täter die Kontrolle über eine Domain[1] zum Vertrieb von Online-Werbung verschafft und dort schädliche Ads integriert.

Diese schädlichen Ads suchten nach Schwachstellen in den Browsern der Internetuser, um die Rechner der User mit der „Ransomware“ „TeslaCrypt“ zu infizieren.

 

Warum war dieser Angriff so effizient?

Zu den betroffenen Internetseiten zählten u. a.: New York Times, BBC, AOL, The Weather Network sowie Newsweek. Die Angreifer konnten auf diesem Weg sehr viele Rechner in kürzester Zeit infizieren.

Ist der Browser eines Users angreifbar, infiziert dieser „Drive-by Download“-Angriff (unbeabsichtigtes Herunterladen von Software) den Rechner sofort beim Anzeigen des Ads.

Im Falle des Angriffs vom 14. März 2016 waren nur Windows-Rechner bedroht, während andere Arten von „Ransomware“ aber auch MacOSX befallen können.

 

Wie kann man sich schützen?

Wichtigster Tipp: Führen Sie getrennte Backups durch.

Die modernen „Crypto-Ransomwares“ greifen alle eingebundenen Festplatten an, unabhängig davon, ob sie im Rechner integriert oder über einen USB- oder sonstigen Port oder aber ein Netzwerk damit verbunden sind. Deshalb sollte das Backup immer getrennt durchgeführt werden.

Einige zusätzliche Tipps, um einen Angriff zu vermeiden:

  • Halten Sie Ihre Software auf dem neuesten Stand: aktualisieren Sie Ihr Betriebssystem sowie Ihren Browser und seine Plug-ins regelmäßig. Informieren Sie sich immer über die neuesten verfügbaren Updates und laden Sie diese nur auf den offiziellen Internetseiten herunter.
  • Installieren Sie nur nützliche und notwendige Plug-ins. Programme wie „Flash“, „Silverlight“ und „Java“ erweitern zwar die Funktionen der Browser, aber Sie sollten sich bewusst sein, dass diese Plug-ins auch zusätzliche Mittel zum Angriff Ihres Rechners darstellen.
  • Es gibt sog. Werbeblocker (Ad-Blocker) und Skriptblocker, die sehr effizient vor solchen „Drive-by Download“-Angriffen schützen. Sie haben allerdings auch Auswirkungen auf Ihr Surf-Erlebnis (unvollständige Anzeige, begrenzte Funktionalität usw.).

Wurden Ihre Daten Opfer der „Crypto-Ransomware“ TeslaCrypt, gibt es bis dato leider keine Technik zur Wiedererlangung.

 

Mehr dazu:

 



[1] Ein Domainname ist die „Maske“ einer IP-Adresse. Ziel des Domainnamen ist es, die Adresse einer Gruppe von Servern einfach zu übermitteln. Beispielsweise kann man sich bee-secure.lu einfacher merken als 31.22.120.215 (die IP-Adresse).