Die neue Ransomware „Spider“ zielt auf Opfer in einer sogenannten "Mid-Scale"-Kampagne. Die Spider-Ransomware ist insofern einzigartig, als eine Zahlungsfrist von lediglich 96 Stunden gewährt wird. Die Angreifer versuchen zudem, die Opfer zu beruhigen, indem sie ihnen versichern, dass die Lösegeldzahlung und Dateiwiederherstellung "wirklich einfach" sein wird. Außerdem stellen sie einen Link zu einem Videotutorial zur Funktionsweise der Zahlungs- und Dateiwiederherstellungsprozesses bereit.
Die Kampagne wurde erstmals am 10. Dezember 2017 von Netskope Threat Research Labs entdeckt (bisher nur in Balkan-Ländern), die ihr Ergebnis am Dienstag in einem Blogpost teilten. Opfer werden mit bösartigen Office-Dokumenten konfrontiert, die als Anhänge im Rahmen einer E-Mail-Phishing-Kampagne mit der Betreffzeile "Inkasso" gesendet werden.
Die bösartigen Office-Dokumente sind in bosnischer Sprache geschrieben und enthalten laut Aussage der Forscher einen verschleierten Code. Wenn der bösartige Code ausgeführt wird, wird Windows PowerShell mit Anweisungen zum Herunterladen einer bösartigen Base64-codierten Payload gestartet. "Nach dem Herunterladen der Payloads dekodiert das PowerShell-Skript die Base64-Zeichenfolge und führt eine XOR-Operation mit dem Schlüssel 'AlberTI' durch, um die endgültigen Nutzdaten zu dekodieren, die später in ausführbaren Dateien (.exe) gespeichert werden", schreiben die Forscher.
Sobald die Dateien verschlüsselt sind, wird die Ransomware-Notiz angezeigt, die darauf hinweist, dass das Opfer nur 96 Stunden Zeit hat, das Lösegeld in Bitcoins zu bezahlen, um einen Schlüssel zum Entschlüsseln der Dateien zu erhalten. Folgender Warnhinweis wird angezeigt:
"Sie müssen schnell sein, nach 96 Stunden wird der Schlüssel gesperrt und alle Ihre Dateien bleiben dauerhaft verschlüsselt ... versuchen Sie nichts Dummes, das Programm hat mehrere Sicherheitsmaßnahmen, um alle Ihre Dateien zu löschen und den Schaden an Ihrem PC zu verursachen.“
Um Spider oder andere Ransomware-Attacken zu vermeiden, sollten Benutzer standardmäßig Makros deaktivieren und keine signierten Makros von nicht-vertrauenswürdigen Quellen ausführen.
Mit Sophos Sandstorm haben Sie außerdem die Möglichkeit, Dateien und Programme, bei denen Sie sich nicht sicher sind, ob Sie Ransomware oder einen anderen Trojaner enthalten, in einer gesicherten Umgebung zu öffnen. So bietet Sophos Sandstorm auch zuverlässigen Schutz bei bisher unbekannter Malware. Sophos Sandstorm ist als Subscription erhältlich für alle SG- und XG-Firewall-Modelle, zum Beispiel für die SG 210 oder für die XG 210.