RobbinHood: Dieser Erpressungstrojaner bringt Einfallstor einfach mit

Verschlüsselung, Ransomware, Erpressung, erpressungstrojaner Bildquelle: CC0 / Geralt
Dass Trojaner und andere Schadsoftware immer neue Wege finden, um Nutzer und Sicherheitsschranken zu umgehen, ist ein alter Hut. Doch wie der Verschlüsselungstrojaner RobbinHood agiert, ist neu und ebenso dreist wie schlau.
Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im InternetOft gehört - nie genutzt: Schutzmaßnahmen im Internet

Trojaner lädt als erstes einen Treiber

RobbinHood bringt laut dem Bericht der Sicher­heits-Spezialisten von Sophos einfach selbst einen Bug mit, dessen Schwachstelle er auf dem Ziel-Rechner ausnutzen kann. Das ist dabei ebenso einfach wie genial. Der Trojaner vollzieht seinen Plan in mehreren Schritten. Wichtig ist, dass er dabei mögliche Antiviren-Programme außer Gefecht setzt.

Sophos hat laut dem Bericht zwei verschiedene Lösegeld-Angriffe mit RobbinHood untersucht.

Dabei setzt der Trojaner einen legitimen, digital signierten Hard­ware-Treiber ein, um Sicher­heits­produkte von den Zielcomputern zu löschen, kurz bevor der zerstörerische Datei­ver­schlüs­se­lungs­teil des Angriffs durchgeführt wurde. Bei dem signierten Treiber handelt es sich um einen Teil eines inzwischen veralteten Softwarepakets des taiwanesischen Motherboard-Her­stel­lers Gigabyte. Bei diesem ist eine Schwachstelle bekannt (CVE-2018-19320). Schon vor rund zwei Jahren wurde für diese Schwachstelle ein Proof-of-Concept-Code veröffentlicht und die Treiber eingestellt.

Manipulationschutz wird umgangen

Doch die zugrundeliegende Sicherheitslücke bleibt ausnutzbar, zumindest ungepatcht, wie sie Huckepack mit RobbinHood zum Einsatz kommt. In dem neu entdeckten An­griffs­sze­nario nutzen die Cyber-Kriminellen den Giga­byte-Treiber als eine Art Keil, um einen Spalt zu öffnen, durch den der Trojaner schlüpfen kann, erklärt Sophos. Dann wird ein zweiter, nicht signierter Treiber geladen, der alle Prozesse und Dateien, die zu den Endpunkt-Sicher­heits­pro­dukten gehören, unterläuft, und dabei den Windows 10 Manipulationsschutz umgeht.

Schlussendlich verschlüsselt er die Daten auf dem Ziel-PC und fordert für die Entschlüsselung entsprechend Lösegeld. RobbinHoodDie Erpressungs-Botschaft des Trojaners. Hersteller von Antiviren-Software müssen sich an diese neuartige Bedrohung anpassen. Laut Sophos gibt es bis dahin nur insoweit Schutz, dass man keine Daten aus unbekannten Quellen öffnet und generell sein System mit allen Sicherheitsupdates versorgt, damit der Trojaner erst gar nicht auf den Rechner gelangen kann.

Download RogueKiller - Malware aufspüren und entfernen Download Malwarebytes Premium - Vierfacher Schutz vor Schadsoftware Siehe auch:
Verschlüsselung, Ransomware, Erpressung, erpressungstrojaner Verschlüsselung, Ransomware, Erpressung, erpressungstrojaner CC0 / Geralt
Diese Nachricht empfehlen
Kommentieren1
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 09:05 Uhr Willful Fitness Armband mit Pulsuhr,Wasserdicht IP68 Fitness Uhr Smartwatch Farbbildschirm Fitness Tracker Pulsmesser Schrittzähler Sportuhr für Damen Herren Anruf SMS Beachten für iOS Android HandyWillful Fitness Armband mit Pulsuhr,Wasserdicht IP68 Fitness Uhr Smartwatch Farbbildschirm Fitness Tracker Pulsmesser Schrittzähler Sportuhr für Damen Herren Anruf SMS Beachten für iOS Android Handy
Original Amazon-Preis
36,99
Im Preisvergleich ab
?
Blitzangebot-Preis
26,10
Ersparnis zu Amazon 29% oder 10,89

Video-Empfehlungen

Tipp einsenden