IT-Sicherheit

Shade Ransomware

Gezielte Malware-Kampagne trifft Unternehmen

von 06.02.2019
shade trojaner ransomware
Shade, auch Troldesh genannt, greift gezielt Unternehmen an © Pixabay

Shade heißt die neue Ransomware, vor der sich nun auch deutsche Unternehmen in Acht nehmen sollten. Der Sicherheitssoftware-Hersteller ESET warnt bereits massiv vor einer auf Deutschland zurollenden Spam-Welle.
Wie Sie Ihr Unternehmen effektiv schützen und welchen Schaden Shade genau anrichtet, verraten wir jetzt.

shade trojaner ransomware

Shade, auch Troldesh genannt, greift gezielt Unternehmen an
© Pixabay

Shade Malware – so verbreitet sich die gefährliche Schadsoftware

Wie viele andere Trojaner und Viren, hat auch Shade seinen Ursprung in Russland, wo die Hacker-Szene höchst aktiv zu sein scheint. Nachdem dort bereits zahlreiche Unternehmen Opfer einer Spam-Welle wurden, haben die Angreifer nun laut ESET auch deutsche Unternehmen im Visier. Damit aber nicht genug: laut dem Sicherheitsexperten sieht es sogar nach einer ganz gezielten Angriffskampagne gegen Firmen aus, die möglichst großen Schaden anrichten soll. Dafür spricht vor allem der Umstand, dass Shade – auch Troldesh  genannt – am Wochenende mehr oder weniger zu ruhen scheint und auch an Feiertagen verhältnismäßig selten auftritt. Die Verteilung findet vornehmlich von montags bis freitags statt – und zwar innerhalb der klassischen Büro-Arbeitszeiten.
Verteilt wird die Ransomware über eine JavaScript-Datei in einem angehängten ZIP-Archiv. Damit ist weder die Masche neu, noch übrigens die Ransomware selbst. Bereits im Jahr 2014 tauchte sie das erste Mal auf und sorgt seitdem immer wieder für Furore. Ihre letzten Höhepunkt hatte sie vergangenen Oktober in Russland. Zum Jahresende minimierte sich die Zahl der Angriffe zunächst – scheinbar lassen es auch Cyberkriminelle über die Feiertage eher ruhig angehen.
Dafür kommt Shade jetzt aber doppelt und dreifach zurück – die Zahl der Opfer steigt täglich an. Während bislang in etwa 52 Prozent der offiziellen Fälle russische Unternehmen zu den Opfern zählten, schwappt die bösartige Spam-Welle nun brachial über die Grenzen. Neben Deutschland sind schon jetzt auch Japan, die Ukraine und unser Nachbarland Frankreich betroffen.

Shade Ransomware kommt per E-Mail

Die verseuchte ZIP-Datei wird ganz klassisch einer E-Mail angehängt. Selbige gibt vor, von einem legitimen, russischen Unternehmen (zum Beispiel der Handelskette Magnit oder der B&N Bank) zu stammen und Informationen zu einer aktuellen Bestellung zu enthalten. Und genau das macht Shade vor allem für international agierende Unternehmen gefährlich, die tatsächlich Geschäftsbeziehungen zu russischen Firmen oder Banken pflegen.
Wird das der Nachricht angehängte Archiv – unter Bezeichnungen wie „inf.zip“ oder „info.zip“ – dann ausgeführt, ist es bereits zu spät. Automatisch wird ein bösartiger Loader von WordPress-Sites heruntergeladen, die im Vorfeld durch automatisierte Brute-Force-Attacken kompromittiert wurden. Dort versteckt sich die Schadsoftware übrigens innerhalb von Bilddateien, die auf „ssj.jpg“ enden. Die Sicherheitsexperten von ESET konnten bereits Hunderte Dateien dieser Art identifizieren.
Im Anschluss passiert folgendes: der Loader, der mit einem ungültigen und augenscheinlich von Comodo stammenden Zertifikat signiert ist, tarnt sich effektiv, indem er sich in einen versteckten Ordner kopiert. Dort gibt er sich als legitimer Windows-Systemprozess aus und beherbergt vom Windows Server  kopierte Versionsdetails. Das große Finale des Angriffs stellt schließlich die Ausführung der Shade Ransomware dar. Sie funktioniert als klassischer Verschlüsselungstrojaner und nimmt sich einer ganzen Reihe von Dateitypen auf dem Laufwerk an. Zu erkennen sind selbige dann an Dateiendungen wie „crypted000007“. Die zugehörige Lösegeld-Forderung wird dabei direkt mitgeliefert. Eine Text-Datei mit entsprechenden Anweisungen auf Russisch und (netterweise) auch Englisch, befindet sich anschließend auf allen zugänglichen Laufwerken.

border_color

IT-SERVICE.NETWORK – Nehmen Sie Kontakt zu uns auf!

Effektiver Schutz vor Ransomware wie Shade & Co. mit den passenden Software-Lösungen

Jetzt Kontakt aufnehmen!

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

Pikabot-Malware

Aktuelle Angriffskampagne nutzt Social-Engineering-Taktiken

von • 15.04.2024

Anfang 2023 ist sie erstmals entdeckt worden, seit Anfang 2024 sorgt sie vermehrt für Schlagzeilen: Die Pikabot-Malware ist eine raffinierte Bedrohung und wird durch Social Engineering verbreitet. ...

Weiterlesen
IT-Sicherheit

TeamViewer-Sicherheitslücke

Schwachstelle verhilft Nutzern zu Admin-Rechten

von • 10.04.2024

Die Entwickler der beliebten Remote-Support-Software TeamViewer warnen vor einer Schwachstelle, über die sich Nutzer Admin-Rechte verschaffen können. Ein Update für die TeamViewer-Sicherheitslücke...

Weiterlesen
IT-Sicherheit

Exchange Server verwundbar

BSI warnt vor kritischer Schwachstelle

von • 03.04.2024

Das BSI warnt: In Deutschland sind mindestens 17.000 Microsoft Exchange Server verwundbar. Unternehmen sind zu schnellem Handeln aufgerufen, denn Cyberkriminelle greifen bereits an! Wir berichten, ...

Weiterlesen