Shade Ransomware

Gezielte Malware-Kampagne trifft Unternehmen

Von in IT-Sicherheit
06
Feb
'19

Shade heißt die neue Ransomware, vor der sich nun auch deutsche Unternehmen in Acht nehmen sollten. Der Sicherheitssoftware-Hersteller ESET warnt bereits massiv vor einer auf Deutschland zurollenden Spam-Welle.

Wie Sie Ihr Unternehmen effektiv schützen und welchen Schaden Shade genau anrichtet, verraten wir jetzt.

shade trojaner ransomware

Shade, auch Troldesh genannt, greift gezielt Unternehmen an
© Pixabay

Shade Malware – so verbreitet sich die gefährliche Schadsoftware

Wie viele andere Trojaner und Viren, hat auch Shade seinen Ursprung in Russland, wo die Hacker-Szene höchst aktiv zu sein scheint. Nachdem dort bereits zahlreiche Unternehmen Opfer einer Spam-Welle wurden, haben die Angreifer nun laut ESET auch deutsche Unternehmen im Visier. Damit aber nicht genug: laut dem Sicherheitsexperten sieht es sogar nach einer ganz gezielten Angriffskampagne gegen Firmen aus, die möglichst großen Schaden anrichten soll. Dafür spricht vor allem der Umstand, dass Shade – auch Troldesh  genannt – am Wochenende mehr oder weniger zu ruhen scheint und auch an Feiertagen verhältnismäßig selten auftritt. Die Verteilung findet vornehmlich von montags bis freitags statt – und zwar innerhalb der klassischen Büro-Arbeitszeiten.

Verteilt wird die Ransomware über eine JavaScript-Datei in einem angehängten ZIP-Archiv. Damit ist weder die Masche neu, noch übrigens die Ransomware selbst. Bereits im Jahr 2014 tauchte sie das erste Mal auf und sorgt seitdem immer wieder für Furore. Ihre letzten Höhepunkt hatte sie vergangenen Oktober in Russland. Zum Jahresende minimierte sich die Zahl der Angriffe zunächst – scheinbar lassen es auch Cyberkriminelle über die Feiertage eher ruhig angehen.

Dafür kommt Shade jetzt aber doppelt und dreifach zurück – die Zahl der Opfer steigt täglich an. Während bislang in etwa 52 Prozent der offiziellen Fälle russische Unternehmen zu den Opfern zählten, schwappt die bösartige Spam-Welle nun brachial über die Grenzen. Neben Deutschland sind schon jetzt auch Japan, die Ukraine und Nachbarland Frankreich betroffen.

Shade Ransomware kommt per E-Mail

Die verseuchte ZIP-Datei wird ganz klassisch einer E-Mail angehängt. Selbige gibt vor, von einem legitimen, russischen Unternehmen (z. B. der Handelskette Magnit oder der B&N Bank) zu stammen und Informationen zu einer aktuellen Bestellung zu enthalten. Und genau das macht Shade vor allem für international agierende Unternehmen gefährlich, die tatsächlich Geschäftsbeziehungen zu russischen Firmen oder Banken pflegen.

Wird das der Nachricht angehängte Archiv – unter Bezeichnungen wie „inf.zip“ oder „info.zip“ – dann ausgeführt, ist es bereits zu spät. Automatisch wird ein bösartiger Loader von WordPress-Sites heruntergeladen, die im Vorfeld durch automatisierte Brute-Force-Attacken kompromittiert wurden. Dort versteckt sich die Schadsoftware übrigens innerhalb von Bilddateien, die auf „ssj.jpg“ enden. Die Sicherheitsexperten von ESET konnten bereits Hunderte dieser Art identifizieren.

Im Anschluss passiert folgendes: der Loader, der mit einem ungültigen und augenscheinlich von Comodo stammenden Zertifikat signiert ist, tarnt sich effektiv, indem er sich in einen versteckten Ordner kopiert. Dort gibt er sich als legitimer Windows-Systemprozess aus und beherbergt vom Windows Server  kopierte Versionsdetails. Das große Finale des Angriffs stellt schließlich die Ausführung der Shade Ransomware dar. Sie funktioniert als klassischer Verschlüsselungstrojaner und nimmt sich einer ganzen Reihe von Dateitypen auf dem Laufwerk an. Zu erkennen sind selbige dann an Dateiendungen wie „crypted000007“. Die zugehörige Lösegeld-Forderung wird dabei direkt mitgeliefert. Eine Text-Datei mit entsprechenden Anweisungen auf Russisch und (netterweise) auch Englisch, befindet sich anschließend auf allen zugänglichen Laufwerken.

border_color

IT-SERVICE.NETWORK – Nehmen Sie Kontakt zu uns auf!

Effektiver Schutz vor Ransomware wie Shade & Co. mit den passenden Software-Lösungen

Jetzt Kontakt aufnehmen!

Lena Klaus

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.