IT-Sicherheit

Shade Ransomware

Gezielte Malware-Kampagne trifft Unternehmen

von 06.02.2019
shade trojaner ransomware
Shade, auch Troldesh genannt, greift gezielt Unternehmen an © Pixabay

Shade heißt die neue Ransomware, vor der sich nun auch deutsche Unternehmen in Acht nehmen sollten. Der Sicherheitssoftware-Hersteller ESET warnt bereits massiv vor einer auf Deutschland zurollenden Spam-Welle.
Wie Sie Ihr Unternehmen effektiv schützen und welchen Schaden Shade genau anrichtet, verraten wir jetzt.

shade trojaner ransomware

Shade, auch Troldesh genannt, greift gezielt Unternehmen an
© Pixabay

Shade Malware – so verbreitet sich die gefährliche Schadsoftware

Wie viele andere Trojaner und Viren, hat auch Shade seinen Ursprung in Russland, wo die Hacker-Szene höchst aktiv zu sein scheint. Nachdem dort bereits zahlreiche Unternehmen Opfer einer Spam-Welle wurden, haben die Angreifer nun laut ESET auch deutsche Unternehmen im Visier. Damit aber nicht genug: laut dem Sicherheitsexperten sieht es sogar nach einer ganz gezielten Angriffskampagne gegen Firmen aus, die möglichst großen Schaden anrichten soll. Dafür spricht vor allem der Umstand, dass Shade – auch Troldesh  genannt – am Wochenende mehr oder weniger zu ruhen scheint und auch an Feiertagen verhältnismäßig selten auftritt. Die Verteilung findet vornehmlich von montags bis freitags statt – und zwar innerhalb der klassischen Büro-Arbeitszeiten.
Verteilt wird die Ransomware über eine JavaScript-Datei in einem angehängten ZIP-Archiv. Damit ist weder die Masche neu, noch übrigens die Ransomware selbst. Bereits im Jahr 2014 tauchte sie das erste Mal auf und sorgt seitdem immer wieder für Furore. Ihre letzten Höhepunkt hatte sie vergangenen Oktober in Russland. Zum Jahresende minimierte sich die Zahl der Angriffe zunächst – scheinbar lassen es auch Cyberkriminelle über die Feiertage eher ruhig angehen.
Dafür kommt Shade jetzt aber doppelt und dreifach zurück – die Zahl der Opfer steigt täglich an. Während bislang in etwa 52 Prozent der offiziellen Fälle russische Unternehmen zu den Opfern zählten, schwappt die bösartige Spam-Welle nun brachial über die Grenzen. Neben Deutschland sind schon jetzt auch Japan, die Ukraine und unser Nachbarland Frankreich betroffen.

Shade Ransomware kommt per E-Mail

Die verseuchte ZIP-Datei wird ganz klassisch einer E-Mail angehängt. Selbige gibt vor, von einem legitimen, russischen Unternehmen (zum Beispiel der Handelskette Magnit oder der B&N Bank) zu stammen und Informationen zu einer aktuellen Bestellung zu enthalten. Und genau das macht Shade vor allem für international agierende Unternehmen gefährlich, die tatsächlich Geschäftsbeziehungen zu russischen Firmen oder Banken pflegen.
Wird das der Nachricht angehängte Archiv – unter Bezeichnungen wie „inf.zip“ oder „info.zip“ – dann ausgeführt, ist es bereits zu spät. Automatisch wird ein bösartiger Loader von WordPress-Sites heruntergeladen, die im Vorfeld durch automatisierte Brute-Force-Attacken kompromittiert wurden. Dort versteckt sich die Schadsoftware übrigens innerhalb von Bilddateien, die auf „ssj.jpg“ enden. Die Sicherheitsexperten von ESET konnten bereits Hunderte Dateien dieser Art identifizieren.
Im Anschluss passiert folgendes: der Loader, der mit einem ungültigen und augenscheinlich von Comodo stammenden Zertifikat signiert ist, tarnt sich effektiv, indem er sich in einen versteckten Ordner kopiert. Dort gibt er sich als legitimer Windows-Systemprozess aus und beherbergt vom Windows Server  kopierte Versionsdetails. Das große Finale des Angriffs stellt schließlich die Ausführung der Shade Ransomware dar. Sie funktioniert als klassischer Verschlüsselungstrojaner und nimmt sich einer ganzen Reihe von Dateitypen auf dem Laufwerk an. Zu erkennen sind selbige dann an Dateiendungen wie „crypted000007“. Die zugehörige Lösegeld-Forderung wird dabei direkt mitgeliefert. Eine Text-Datei mit entsprechenden Anweisungen auf Russisch und (netterweise) auch Englisch, befindet sich anschließend auf allen zugänglichen Laufwerken.

border_color

IT-SERVICE.NETWORK – Nehmen Sie Kontakt zu uns auf!

Effektiver Schutz vor Ransomware wie Shade & Co. mit den passenden Software-Lösungen

Jetzt Kontakt aufnehmen!

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

IHK-Phishing

Cyberkriminelle verschicken im Namen der IHK Phishing-E-Mails

von • 25.03.2024

Neu ist die Masche nicht, sie ist aber wieder aufgeflammt: Cyberkriminelle versenden im Namen der Industrie- und Handelskammer Phishing-E-Mails an Unternehmen und wollen darüber Daten Angreifen.  ...

Weiterlesen
IT-Sicherheit

AnyDesk-Hack

Anbieter von Fernwartungssoftware ist Ziel von Cyberattacke

von • 14.02.2024

Neuer Tag, neuer Sicherheitsvorfall: Jetzt hat es AnyDesk, den Anbieter der gleichnamigen Software getroffen. Das BSI empfiehlt Unternehmen, angesichts des AnyDesk-Hacks vors...

Weiterlesen
IT-Sicherheit

Datenleck bei Trello

15 Millionen Datensätze bei Hackerangriff auf Betreiber Atlassian erbeutet

von • 12.02.2024

Cyberkriminelle konnten durch ein Datenleck bei Trello offenbar Daten von mehr als 15 Millionen Daten abgreifen. In einem Hackerforum im Darknet stehen diese Daten zum Verkauf. Wir berichten, was e...

Weiterlesen