Weitere aggressive Ransomware
XData geht ursprünglich auf eine ältere Ransomware unter dem Namen AES-NI zurück
Virulente und äußerst zerstörerisch vorgehende Ransomware
Knapp eine Woche nach der WannaCry-Ransomware-Attacke haben Sicherheitsforscher eine weitere aggressive Ransomware entdeckt. XData hat bereits Hunderte von Rechnern in der Ukraine infiziert. In weniger als 24 Stunden ist es der Ransomware gelungen sich auf den infizierten Rechnern ein starkes Standbein zu verschaffen. Der Fakt allein wäre schon erwähnenswert. Es kommt aber noch etwas anderes hinzu, ausreichend interessant für enthusiastische Anhänger von kriminellen Intrigenspielen und konspirativen Theorien.
Es hat sich herausgestellt, dass XData ursprünglich auf eine ältere Ransomware unter dem Namen AES-NI zurückgeht. Seit dem ersten Aufkommen der XData-Ransomware hat der vermutliche Entwickler von AES-NI zahlreiche Sicherheitsexperten und Journalisten angesprochen und jede Verbindung zur XData-Malware geleugnet. Unabhängig von den zugrunde liegenden Motiven schickt sich XData jetzt offensichtlich an, sich auch außerhalb der Ukraine zu verbreiten.
Das haben die Sicherheitsanalysten und Autoren des Cylance-Teams zum Anlass genommen, sich die Malware genauer anzusehen. Es handelt sich um eine virulente und äußerst zerstörerisch vorgehende Ransomware, daher nutzen die Analysten die Gelegenheit auf diesen neuerlichen Ransomware-Ausbruch aufmerksam zu machen und anderen IT-Sicherheitsteams Empfehlungen zu geben, wie sich die Malware auf bereits infizierten Systemen blocken lässt.
Fazit
Die AES-NI-Ransomware ist immer noch eine der effektivsten Varianten und sie ist bereits in verschiedenen Teilen der Erde aufgetaucht. Die Malware ist einerseits hoch effektiv, hat aber bei weitem noch nicht den Aufmerksamkeitsgrad von etwa WannaCry erreicht. Unter anderem deshalb gehen die Cylance-Analysten davon aus, dass wir in Zukunft weitere Varianten und Abkömmlinge der ursprünglichen Malware erwarten dürfen. Sie eignet sich im Übrigen auch dazu als Ransomware-as-a-Service angeboten zu werden. AES-NI ist sehr gut darin die Spuren auf einem bereits infizierten Rechner zu verwischen, was Analysten und forensische Nachforschungen nicht einfacher macht.
Das auch Folgen für die Anbieter von Sicherheitslösungen, denn diese Situation erschwert es an Beispiele der Malware zu gelangen und passende Signaturen zu entwickeln. (Cylance: ra)
eingetragen: 07.07.17
Home & Newsletterlauf: 25.07.17
Cylance: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.