Russischer USB-Wurm verbreitet sich weltweit

Eine Malware von russischer Staatshacker*innen, die meist ukrainische Unternehmen ins Visier nimmt, hat sich laut Check Point Research in den letzten Monaten entweder versehentlich oder absichtlich weltweit ausgebreitet. Das USB-basierte Tool hat dadurch eine Vielzahl von Organisationen bzw. deren Systeme in mehreren Ländern infiziert.

Die Hacker*innen-Gruppe ist bekannt unter Namen wie Gamaredon, Primitive Bear, ACTINIUM, Armageddon oder eben auch Shuckworm. Sie ist seit mindestens 2014 aktiv und wurde vom Sicherheitsdienst der Ukraine dem russischen Geheimdienst FSB zugeordnet. Die meisten vom Kreml unterstützten Gruppen geben sich Mühe, unbemerkt zu bleiben – ganz im Gegensatz zu Shuckworm. Ihre durch Spionage motivierten Kampagnen sind leicht zu erkennen und können mit der russischen Regierung in Verbindung gebracht werden. Bei den Kampagnen handelt es sich typischerweise um Schadsoftware, welche darauf abzielt, möglichst viele Informationen von den Opfern zu erhalten.

Da ist der Wurm drinnen

Eines dieser Software-Tools ist ein Computerwurm, der sich über USB-Laufwerke von Computer zu Computer verbreiten soll. Die Malware wird von Forscher*innen von Check Point Research unter dem Namen LitterDrifter verfolgt und ist in der Skriptsprache Visual Basic geschrieben.

LitterDrifter dient 2 Zwecken: der wahllosen Verbreitung von USB-Laufwerk zu USB-Laufwerk und der dauerhaften Infektion der Geräte. Diese sind dann mit Laufwerken verbunden, welche permanent mit von Shuckworm betriebenen Befehls- und Kontrollservern kommunizieren.

Laut Check Point Research konzentrieren sich die russischen Hacker*innen: „[…] weiterhin auf eine große Vielfalt ukrainischer Ziele. Aber aufgrund der Art des USB-Wurms sehen wir Hinweise auf eine mögliche Infektion in verschiedenen Ländern wie den USA, Vietnam, Chile, Polen und Deutschland.“

Weitere Verbreitung

Außerdem hat man Hinweise auf Infektionen in Hongkong beobachten können, was gemäß dem auf Cyber-Attacken spezialisierten Forschungsteam darauf hindeuten lässt, dass sich der USB-Wurm über seine beabsichtigten Ziele hinaus verbreitet hat. Mehr als die Hälfte der Infektionen wurden jedoch aus der Ukraine vermeldet – die Zahlen lassen sich auf Einsendungen an VirusTotal rückführen. Der von Google-Mutter Alphabet betriebene Dienst schickt von besorgten Nutzer*innen hochgeladene Dateien durch über 70 verschiedene Antivirenprogramme und Malwarescanner.

➤ Mehr lesen: Diese Android-Apps solltet ihr sofort löschen

Würmer - wie der russische LitterDrifter - sind Malware, welche sich verbreiten, ohne dass die Hacker*innen etwas unternehmen müssen. Als sich selbst verbreitende Software sind derartige Würmer für ihr explosionsartiges Wachstum in großem Ausmaß bekannt.

Wer nun wissen möchte, ob das eigene System infiziert wurde, kann auf Check Point Research mögliche Datei-Hashes, IP-Adressen und von der Malware LitterDrifter verwendete Domänen nachlesen.