RobbinHood: Dieser Erpressungstrojaner bringt Einfallstor einfach mit

Verschlüsselung, Ransomware, Erpressung, erpressungstrojaner Bildquelle: CC0 / Geralt
Dass Trojaner und andere Schadsoftware immer neue Wege finden, um Nutzer und Sicherheitsschranken zu umgehen, ist ein alter Hut. Doch wie der Verschlüsselungstrojaner RobbinHood agiert, ist neu und ebenso dreist wie schlau.
Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im InternetOft gehört - nie genutzt: Schutzmaßnahmen im Internet

Trojaner lädt als erstes einen Treiber

RobbinHood bringt laut dem Bericht der Sicher­heits-Spezialisten von Sophos einfach selbst einen Bug mit, dessen Schwachstelle er auf dem Ziel-Rechner ausnutzen kann. Das ist dabei ebenso einfach wie genial. Der Trojaner vollzieht seinen Plan in mehreren Schritten. Wichtig ist, dass er dabei mögliche Antiviren-Programme außer Gefecht setzt.

Sophos hat laut dem Bericht zwei verschiedene Lösegeld-Angriffe mit RobbinHood untersucht.

Dabei setzt der Trojaner einen legitimen, digital signierten Hard­ware-Treiber ein, um Sicher­heits­produkte von den Zielcomputern zu löschen, kurz bevor der zerstörerische Datei­ver­schlüs­se­lungs­teil des Angriffs durchgeführt wurde. Bei dem signierten Treiber handelt es sich um einen Teil eines inzwischen veralteten Softwarepakets des taiwanesischen Motherboard-Her­stel­lers Gigabyte. Bei diesem ist eine Schwachstelle bekannt (CVE-2018-19320). Schon vor rund zwei Jahren wurde für diese Schwachstelle ein Proof-of-Concept-Code veröffentlicht und die Treiber eingestellt.

Manipulationschutz wird umgangen

Doch die zugrundeliegende Sicherheitslücke bleibt ausnutzbar, zumindest ungepatcht, wie sie Huckepack mit RobbinHood zum Einsatz kommt. In dem neu entdeckten An­griffs­sze­nario nutzen die Cyber-Kriminellen den Giga­byte-Treiber als eine Art Keil, um einen Spalt zu öffnen, durch den der Trojaner schlüpfen kann, erklärt Sophos. Dann wird ein zweiter, nicht signierter Treiber geladen, der alle Prozesse und Dateien, die zu den Endpunkt-Sicher­heits­pro­dukten gehören, unterläuft, und dabei den Windows 10 Manipulationsschutz umgeht.

Schlussendlich verschlüsselt er die Daten auf dem Ziel-PC und fordert für die Entschlüsselung entsprechend Lösegeld. RobbinHoodDie Erpressungs-Botschaft des Trojaners. Hersteller von Antiviren-Software müssen sich an diese neuartige Bedrohung anpassen. Laut Sophos gibt es bis dahin nur insoweit Schutz, dass man keine Daten aus unbekannten Quellen öffnet und generell sein System mit allen Sicherheitsupdates versorgt, damit der Trojaner erst gar nicht auf den Rechner gelangen kann.

Download RogueKiller - Malware aufspüren und entfernen Download Malwarebytes Premium - Vierfacher Schutz vor Schadsoftware Siehe auch:

Verschlüsselung, Ransomware, Erpressung, erpressungstrojaner Verschlüsselung, Ransomware, Erpressung, erpressungstrojaner CC0 / Geralt
Diese Nachricht empfehlen
Kommentieren1
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 01:00 Uhr Mini-PC, Acepc CK2 Intel Core i5-7200U Windows 10 Pro Desktop-Computer,8GB RAM 128 GB M. 2 Nvme SSD,VGA+HDMI+Mini DP-Ausgänge(4K@60Hz) ,Unterstützung von 4X USB 3.0/Dualband-Wlan/Gigabit-Ethernet/BT4.2Mini-PC, Acepc CK2 Intel Core i5-7200U Windows 10 Pro Desktop-Computer,8GB RAM 128 GB M. 2 Nvme SSD,VGA+HDMI+Mini DP-Ausgänge(4K@60Hz) ,Unterstützung von 4X USB 3.0/Dualband-Wlan/Gigabit-Ethernet/BT4.2
Original Amazon-Preis
199,99
Im Preisvergleich ab
?
Blitzangebot-Preis
151,99
Ersparnis zu Amazon 24% oder 48
Alle Amazon Blitzangebote

Neueste Downloads

Mehr Downloads

Video-Empfehlungen

Beliebt im Preisvergleich

Antivirus Preisvergleich

Neue Nachrichten

Themen-Übersicht

Tipp einsenden

Hinweise zum Einsenden von Tipps

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Affiliate-Links, um WinFuture zu unterstützen: Vielen Dank!