Eine gemeinsame Operation aus Teilnehmern verschiedener Sicherheitsfirmen, Forschern und Industrie führte dazu, dass zehntausende Subdomänen erfolgreich heruntergefahren bzw. entfernt werden konnten. Alle diese Domänen standen untereinander in Verbindung und bildeten Teile der Infrastruktur des RIG Exploit Kit (RIG EK).
Das Exploit Kit RIG gehört zu den am weitesten verbreitete Exploit-Kits weltweit und ist verantwortlich für groß angelegte Malvertising-Kampagnen und Auslieferung von Schadcode über kompromittierte Webseiten.
Die Operation mit dem Namen “Shadowfall” startete Ende Februar und wurde über RSA Research koordiniert. Mitspieler der Aktion waren GoDaddy, Malwarebytes, Brad Duncan, @ Broadanalyse, @Dynamicanalysis, @executemalware, @nao_sec und @zerophage. Das Ergebnis der Zusammenarbeit brachte eine Liste von hunderten IPs von mit Malware kompromittierter Domains hervor, die heimlich von der RIG EK entführt wurden.
Das Exploit-Kit lauert auf speziell von Kriminellen präparierten Web-Seiten. Ohne daß der Besucher etwas klicken muß, wird der Browser im Hintergrund systematisch auf vorhandene Sicherheitslücken abgeklopft. Wird eine Sicherheitslücke in einem veralteten Plugin wie z.B Flash, Java, Silverlight gefunden, wird ein entsprechender Shellcode ausgeführt, die eine Malware auf das System installiert – Alles ohne daß der Anwender etwas bemerkt!
Wie kommen Kriminelle an die Anmeldeinformationen der Webseiten?
Alex Cox, Direktor von RSA’s FirstWatch Global Forschungsteam sagt: Die Kriminellen bekommen die Informationen über gezielte Phishing-Kampagnen oder über Brute-Force-Angriffe gegen schwach gesicherte Webseiten. Nachdem die Angreifer erfolgreich Zugang zu Webseiten erhalten haben, konnten von ihnen neue Subdomains erstellt werden. Die Kriminellen übernahmen über 800 Domains und rund 30.000 neue Subdomänen wurden erstellt. Vier Malware-Kampagnen tauchten zwischen Februar und März auf, zwei nutzten aktiv “Domain Shadowing” und verbreiteten über die kompromittierten Webseiten unter anderem die Cerber Ransomware und die Banking Malware “Dreambot”.
Laut den Experten sollen über 40.000 Subdomains und 2.000 IP-Adressen im Zusammenhang mit RIG-Aktivität stehen. Alleine 40.000 Domains konnten bereits im März erfolgreich von GoDaddy vom Netz genommen werden. Zudem konnten Automationen zur Erkennung von “Domain Shadowing” eingerichtet werden. Den Experten ist sicherlich mit der “Takedown Operation Shadowfall” ein weiterer Schlag gegen die Kriminellen gelungen, dennoch ist die Tragweite der Operation weiterhin unklar. Niemand kennt den genauen Umfang der RIG EK – Infrastruktur.
Wie kann ich den Rechner vor RIG schützen?
Exploit-Kits lauern auf von Kriminellen kompromittierten Webseiten. Alleine der Besuch (kein Klick) dieser Webseite reicht oft aus, um den Rechner mit einer Schadsoftware zu infizieren. Sorgen Sie dafür, daß ihr Browser und die installierten Erweiterungen bzw. Plugins immer aktuell sind. Hier können Sie Ihren Browser überprüfen: https://www.browsercheck.pcwelt.de/
Webseitenbetreiber: Mehr als die Hälfte aller Cyber-Angriffe weltweit betreffen laut des Internet Security Reports von Symantec bereits kleine und mittelständige Unternehmen. Jeder Webseitenbetreiber ist dazu eingeladen, seine Webseite kostenfrei bei der Initiative-S einzutragen um diese regelmäßig auf Schadsoftware überprüfen zu lassen.
Mit wenigen aber wichtigen Schritten machen Sie den Rechner sicherer
- Wichtiger denn je, machen Sie regelmäßig Backups von Ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu das kostenfreie EaseUS Todo Backup an. Oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
- Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
- Überprüfen Sie Ihren Rechner und das Android-Handy mit unseren kostenfreien EU-Cleanern>>
- Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immer“up-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
- Ändern Sie die Standardeinstellungen von Windows der die Datei-Erweiterungen ausblendet>>
- Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
- Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
- Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers. Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen werden.
Bild:pixabay.com; bleepingcomputer.com