Ist Locky zurück aus den Weihnachtsferien?

Letztes Jahr war eine der grossen Cyberbedrohungen der Erpressungstrojaner Locky. Die Ransomware tauchte im Februar 2016 das erste Mal auf. Bereits am 16. Februar rechnete der Security-Experte Palo Alto mit 400'000 infizierten PCs von Privatpersonen sowie öffentlichen Institutionen. Im Juli gab die Schweizer Melde- und Analysestelle (Melani) eine Warnung heraus. Die Malware beschäftigte bis in den Dezember mit neuen Versionen und neuen Tricks. Danach wurde es ruhiger.
 
Nun hat das Security-Team von Cisco in einem Blogeintrag vor einer möglichen Rückkehr der Malware in der bekannten Grössenordnung gewarnt. Das Botnet Necurs, das für den grössten Teil des Traffics von Locky-Spam verantwortlich sei, sei wiederkehrend offline. Dies sei seit Ende Dezember der Fall. Nun hat das Cisco-Team neue Spam-Kampagnen mit Locky beobachtet. Allerdings seien es statt wie typischerweise hunderttausende weniger als tausend Nachrichten mit der Malware als Inhalt.
 
Die Frage sei nun, wann Necrus wieder voll aktiv sei und enormes Spam-Volumen erzeuge. Momentan führe das Cisco-Team um die 50'000 IP-Adressen auf der Spam-Blacklist, wenn Necrus aktiv sei, seien es jeweils zwischen 350'000 und 400'000, schreiben die Sicherheitsexperten. Falls Necrus nicht wieder online gehe, werde ein anderes Botnet die Lücke füllen. Schliesslich sei Crimeware ein lukratives Geschäft mit Einnahmen, die sich rasch einer Milliarde Dollar jährlich nähern würden.
 
Im Blog-Beitrag sind die zwei aktuellen Methoden der Locky-Kampagnen mit technischen Details beschreiben: Die Ransomware landet entweder als ZIP-Variante oder als RAR-Version im E-Mail-Postfach. (ts)