- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Weitere aggressive Ransomware


XData geht ursprünglich auf eine ältere Ransomware unter dem Namen AES-NI zurück
Virulente und äußerst zerstörerisch vorgehende Ransomware

- Anzeigen -





Knapp eine Woche nach der WannaCry-Ransomware-Attacke haben Sicherheitsforscher eine weitere aggressive Ransomware entdeckt. XData hat bereits Hunderte von Rechnern in der Ukraine infiziert. In weniger als 24 Stunden ist es der Ransomware gelungen sich auf den infizierten Rechnern ein starkes Standbein zu verschaffen. Der Fakt allein wäre schon erwähnenswert. Es kommt aber noch etwas anderes hinzu, ausreichend interessant für enthusiastische Anhänger von kriminellen Intrigenspielen und konspirativen Theorien.

Es hat sich herausgestellt, dass XData ursprünglich auf eine ältere Ransomware unter dem Namen AES-NI zurückgeht. Seit dem ersten Aufkommen der XData-Ransomware hat der vermutliche Entwickler von AES-NI zahlreiche Sicherheitsexperten und Journalisten angesprochen und jede Verbindung zur XData-Malware geleugnet. Unabhängig von den zugrunde liegenden Motiven schickt sich XData jetzt offensichtlich an, sich auch außerhalb der Ukraine zu verbreiten.

Das haben die Sicherheitsanalysten und Autoren des Cylance-Teams zum Anlass genommen, sich die Malware genauer anzusehen. Es handelt sich um eine virulente und äußerst zerstörerisch vorgehende Ransomware, daher nutzen die Analysten die Gelegenheit auf diesen neuerlichen Ransomware-Ausbruch aufmerksam zu machen und anderen IT-Sicherheitsteams Empfehlungen zu geben, wie sich die Malware auf bereits infizierten Systemen blocken lässt.

Fazit
Die AES-NI-Ransomware ist immer noch eine der effektivsten Varianten und sie ist bereits in verschiedenen Teilen der Erde aufgetaucht. Die Malware ist einerseits hoch effektiv, hat aber bei weitem noch nicht den Aufmerksamkeitsgrad von etwa WannaCry erreicht. Unter anderem deshalb gehen die Cylance-Analysten davon aus, dass wir in Zukunft weitere Varianten und Abkömmlinge der ursprünglichen Malware erwarten dürfen. Sie eignet sich im Übrigen auch dazu als Ransomware-as-a-Service angeboten zu werden. AES-NI ist sehr gut darin die Spuren auf einem bereits infizierten Rechner zu verwischen, was Analysten und forensische Nachforschungen nicht einfacher macht.

Das auch Folgen für die Anbieter von Sicherheitslösungen, denn diese Situation erschwert es an Beispiele der Malware zu gelangen und passende Signaturen zu entwickeln. (Cylance: ra)

eingetragen: 07.07.17
Home & Newsletterlauf: 25.07.17


Cylance: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Hauptziel: Kreditkarteninformationen

    Der europäische Security-Software-Hersteller Eset hat einen alten Bekannten im Google Play Store entdeckt: Der auf den Namen BankBot getaufte Trojaner fiel den Eset-Forschern das erste Mal Anfang 2017 in die Hände. Jetzt hat er klammheimlich seinen Weg zurück in den Google Play Store gefunden. Getarnt als Spiel "Jewels Star Classic" des Entwicklers "GameDevTony" schlich sich die Banking-Malware in den Android App-Store ein. Wie so oft nutzten die Entwickler der Malware auch hier Namen bekannter Spielereihen wie Jewels Star. Die betrügerische App wurde insgesamt über 5.000 Mal heruntergeladen, bevor sie auf Hinweis von Eset aus dem Google Play Store entfernt wurde.

  • Spear Phishing-Mails an Arbeitnehmer

    FireEye veröffentlichte Details zu einer neuen iranischen Hackergruppe mit potenziell zerstörerischen Fähigkeiten. FireEye bezeichnet die Gruppe mit dem Namen APT33 (APT = Advanced Persistent Threat). Die Analyse von FireEye zeigt, dass APT33 seit mindestens 2013 Cyberspionage betreibt und wahrscheinlich für die iranische Regierung arbeitet. Diese Informationen stammen aus aktuellen Untersuchungen von Mandiant und FireEye iSIGHT Threat Intelligence-Analysen. Folgende Informationen über die Aktivitäten, die Fähigkeiten und mögliche Beweggründe von APT33 wurden dabei aufgedeckt: APT33 nahm branchenübergreifend Organisationen ins Visier, die ihren Hauptsitz in den Vereinigten Staaten, Saudi-Arabien und Südkorea haben. Die Gruppe zeigte besonderes Interesse an Luftfahrtunternehmen, die sowohl im militärischen als auch im zivilen Bereich tätig sind, sowie an Energieversorgungsunternehmen mit Verbindungen zur petrochemischen Produktion.

  • Die Rückkehr der PBot-Malware

    Angriffe auf Webanwendungen und DDoS-Attacken (Distributed Denial of Service) sind wieder auf dem Vormarsch. Das zeigen die neu veröffentlichten Daten im "State of the Internet"-Sicherheitsbericht für das 2. Quartal 2017 von Akamai Technologies, Inc. Konkret konnten die Experten von Akamai das erneute Auftreten der PBot-DDoS-Malware nachweisen. Diese Schadsoftware verursachte die größte DDoS-Attacke im vergangenen 2. Quartal. Im Fall von PBot nutzten Cyberkriminelle einen Jahrzehnte alten PHP-Code, um den größten von Akamai gemessenen DDoS-Angriff des 2. Quartals 2017 zu erzielen. Den Angreifern gelang es dabei, ein kleines DDoS-Botnet zu erstellen, das einen DDoS-Angriff mit 75 Gigabit pro Sekunde (Gbit/s) durchführte. Obwohl das PBot-Botnet mit 400 Nodes relativ klein war, konnte es dennoch eine erhebliche Menge an Angriffs-Traffic generieren.

  • Angriffskampagne mit betrügerischen E-Mails

    Check Point Software Technologies gab die Identität des Kriminellen hinter einer Reihe scheinbar staatlich geförderter Cyber-Angriffe auf über 4.000 Unternehmen im Energie-, Bergbau- und Infrastrukturbereich bekannt. Die Kampagne startete im April 2017 und richtete sich gegen einige der größten internationalen Organisationen in der Öl- und Gasindustrie sowie in der Fertigungs-, Bank- und Baubranche. Das weltweite Ausmaß und die anvisierten Organisationen ließen vermuten, dass eine Expertengruppe oder staatlich geförderte Agentur hinter den Angriffen stehen müsste. Die Kampagne ist jedoch die Arbeit eines einzelnen Nigerianers Mitte Zwanzig, der aus der Nähe der Landeshauptstadt stammt. Sein Facebook-Account ziert das Motto: "Reich werden oder beim Versuch sterben".

  • Verbreitung über Malvertising

    Eset hat einen speziellen Fall von Krypto-Mining entdeckt, welcher das Schürfen von Krypto-Währungen direkt über das JavaScript eines Web-Browsers ermöglicht. Diese CPU-intensive Aufgabe ist in der Regel von der Mehrheit der Werbenetzwerke verboten, weil sie die Nutzererfahrung erheblich beeinträchtigt. Schon seit geraumer Zeit nutzten Cyberkriminelle den Vorteil von Krypto-Währungen, um Profite zu generieren. Allerdings verwenden sie in der Regel Malware oder potenziell unerwünschte Anwendungen, die sie auf den Computern ihrer Opfer installieren. Um mit Krypto-Mining Geld zu verdienen, müssen "Schürfer" ihre Rechnerleistung zur Verfügung stellen. Die Entwickler des nun untersuchten JavaScripts nutzen hierfür allerdings die Rechnerleistung ihrer Opfer.