{"id":17183,"date":"2018-07-06T18:00:56","date_gmt":"2018-07-06T16:00:56","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=17183"},"modified":"2018-12-14T10:14:14","modified_gmt":"2018-12-14T08:14:14","slug":"rakhni-miner-cryptor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/rakhni-miner-cryptor\/17183\/","title":{"rendered":"Trojaner Rakhni: zwischen Ransomware und Krypto-Miner"},"content":{"rendered":"

Wir haben vor Kurzem<\/a> davon berichtet, dass Krypto-Miner<\/a> dem bisherigen Tabellenf\u00fchrer, Ransomware, den Platz an der Spitze der Rangliste f\u00fcr Online-Bedrohungen streitig machen. Trendgerecht hat die Trojaner-Ransomware Rakhni, die wir seit 2013 aufmerksam verfolgen, ihrem Arsenal ein Krypto-Mining-Modul hinzugef\u00fcgt. Interessanterweise kann der Malware-Loader ger\u00e4tespezifisch ausw\u00e4hlen, welche Komponente installiert werden soll. Unsere Forscher haben herausgefunden, wie die aktualisierte Variante der Malware funktioniert und welche Gefahren sie birgt.\"\"<\/a><\/p>\n

Unsere Produkte konnten Rakhni in Russland, Kasachstan, der Ukraine, Deutschland und Indien ausfindig machen. Die Malware wird haupts\u00e4chlich durch Spam-Mails mit b\u00f6sartigen Anh\u00e4ngen verbreitet. Eine der Stichproben, die unsere Experten untersucht haben, war beispielsweise als Finanzdokument getarnt, was darauf hindeutet, dass die dahinter stehenden Cyberkriminellen prim\u00e4r an \u201eUnternehmenskunden\u201c interessiert sind.<\/p>\n

Der Verschl\u00fcsselungstrojaner #Rakhni, der bereits seit 2013 bekannt ist, versucht sein Gl\u00fcck nun mit dem Sch\u00fcrfen der Kryptow\u00e4hrung #Monero.<\/p>Tweet<\/a><\/blockquote>\n

\u00dcber einen DOCX-Anhang in einer Spam-E-Mail verbreiten die Kriminellen ein PDF-Dokument. Wenn der Benutzer das Dokument zur Bearbeitung freigibt und versucht, es zu \u00f6ffnen, fordert das System die Berechtigung zum Ausf\u00fchren einer ausf\u00fchrbaren Datei eines unbekannten Herausgebers an. Mit der Erlaubnis des Benutzers kommt Rakhni dann zum Einsatz.\"\"<\/a><\/p>\n

Wie ein Dieb in der Nacht<\/h2>\n

Beim Versuch die Datei zu \u00f6ffnen, erscheint dem Opfer der Malware zun\u00e4chst eine Fehlermeldung. Danach deaktiviert sie die Sicherheitssoftware Windows Defender und schreitet mit der Installation gef\u00e4lschter digitaler Zertifikate<\/a> fort. Nur wenn die Luft rein erscheint, entscheidet die Malware, was mit dem infizierten Ger\u00e4t geschehen soll \u2013 ob Dateien verschl\u00fcsselt und L\u00f6segeld gefordert oder \u201elediglich\u201c ein Miner installiert werden soll.<\/p>\n

Zu guter Letzt versucht sich das Schadprogramm auch auf anderen Computern innerhalb des lokalen Netzwerks zu verbreiten. Wenn Unternehmensmitarbeiter beispielsweise den Zugriff auf den Ordner \u201eBenutzer\u201c auf ihren Ger\u00e4ten freigegeben haben, schleicht sich die Malware auch automatisch auf diesen Ger\u00e4ten ein.<\/p>\n

Kryptow\u00e4hrung sch\u00fcrfen oder Daten verschl\u00fcsseln?<\/h3>\n

Das Auswahlkriterium, nach dem die Malware vorgeht, ist ganz einfach: Wenn sie einen Dienstordner mit dem Namen \u201eBitcoin\u201c auf dem Computer des Opfers findet, entscheidet sie sich f\u00fcr das Ausf\u00fchren von Ransomware, mit der Dateien (einschlie\u00dflich Office-Dokumente, PDFs, Bilder und Back-ups) verschl\u00fcsselt werden und eine L\u00f6segeldzahlung gefordert wird, die innerhalb von 3 Tagen beglichen werden muss.<\/p>\n

Wenn sich dieser besagte Ordner nicht auf dem Rechner des Opfers befindet und die Malware davon ausgeht, dass der Computer \u00fcber ausreichend Rechenleistung zum Sch\u00fcrfen von Kryptow\u00e4hrung verf\u00fcgt, wird ein Miner heruntergeladen, der heimlich Mono-, Monero Original- oder Dashcoin-Token im Hintergrund sch\u00fcrft.<\/p>\n

So vermeiden Sie Infektionen<\/h3>\n

Um eine Infektion mit Rakhni zu vermeiden und Unternehmenssch\u00e4den zu verhindern, sollten Sie ein genaues Auge auf alle eingehende Nachrichten werfen; insbesondere solche, die von unbekannten E-Mail-Adressen und Absendern stammen. Wenn Sie bereits beim \u00d6ffnen der Mail stutzig werden, sollten Sie den Anhang unter keinen Umst\u00e4nden \u00f6ffnen. Beachten Sie auch die Warnungen des Betriebssystems: F\u00fchren Sie keine Apps von unbekannten Herstellern aus, insbesondere dann, wenn sie anderen bekannten Anwendungen namentlich \u00e4hneln.<\/p>\n

Im Kampf gegen Miner und Kryptoren in Unternehmensnetzwerken liegen Sie mit folgenden Ma\u00dfnahmen immer richtig:<\/p>\n