„MIRCOP“: Erpressersoftware stellt sich als Opfer dar

Trend Micro hat eine neue Crypto-Ransomware ("MIRCOP") entdeckt, deren Hintermänner sich selbst als Opfer darstellen. Sie fordern kein "Lösegeld", sondern eine "Rückzahlung", so als ob sie zuerst bestohlen worden wären. [...]

Außergewöhnlich ist laut einem Blog-Beitrag von Trend Micro sußerdem die Höhe der geforderten Geldsumme: 48,48 Bitcoins (was knapp 29 Dollar entspricht). Dies und das Fehlen eines explizit genannten Zahlungsempfängers deuten laut den Security-Experten darauf hin, dass es sich hier um einen gezielten Angriff mit Erpressersoftware handeln könnte – ein absolutes Novum.

Demgegenüber weisen Verbreitungsweg (Spam-Nachrichten) und Wirkungsweise (Dateiverschlüsselung) die typischen Eigenschaften von Erpressersoftware auf. Im Anhang der Spam-E-Mail findet sich ein Makro-aktiviertes Dokument, angeblich ein thailändisches Zollformular für Im- und Export. Wer auf den Trick hereinfällt, das Dokument öffnet und die Makros aktiviert, wird auf eine infizierte Webseite geleitet. Von dort wird die eigentliche Schadsoftware heruntergeladen und ausgeführt.

„Es gibt einige Indizien, die darauf hindeuten, dass MIRCOP ganz bestimmte Opfer im Visier hat“, vermutet Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro. „Einerseits gibt es keine echten Zahlungsanweisungen – man geht also davon aus, dass das Opfer schon wissen wird, wohin es die Bitcoins transferieren soll. Andererseits kam es zu keinem Spam-Ausbruch im Zusammenhang mit der Erpressersoftware und deren Downloader. Ferner wurden weltweit bislang weniger als zwanzig Rechner infiziert, wie meine Kollegen ermittelt haben. Das sind bedeutend weniger Infektionen als bei „normalen“ Ransomware-Kampagnen. Meine Kollegen könnten daher mit MIRCOP einen gezielten Angriff entdeckt haben. Gezielte Angriffe über Ransomware aber stellen eine neue Stufe der Bedrohung durch Erpressersoftware dar.“

Trend Micro wiederholt auch in diesem Fall das allgemeingültige Mantra: Generell sollten Anwender – Privatleute wie Unternehmen – auf ihren Geräten eine moderne Sicherheitssoftware installieren und stets auf dem aktuellen Stand halten. Außerdem sollten diese Schutzlösungen über Cloud-Sicherheitsmechanismen verfügen, damit etwa Webadressen, die zu Erpresser- und anderer Schadsoftware führen, oder E-Mails mit bösartigen Links geblockt und bösartige Dateien gar nicht heruntergeladen oder ausgeführt werden. Zusätzlich bietet die Verhaltensanalyse solcher Sicherheitssoftware Schutz und kann eine unbekannte oder zunächst nicht erkannte Bedrohung noch vor dem eigentlichen Schaden abwehren.

Erste Hilfe im Fall einer Infektion bietet Trend Micro mit zwei kostenlos abrufbaren Tools, die bestimmte Varianten von Crypto-Ransomware entschlüsseln können: „Trend Micro Crypto-Ransomware File Decryptor“ und „Trend Micro Anti-Ransomware“. Sie können verschlüsselte Dateien auf mit „TeslaCrypt“ und „CryptXXX“ infizierten Rechnern wieder entschlüsseln und eventuelle Bildschirmsperren aufheben.

Zum Abschluss hat Trend Micro einen weiteren guten Rat: Eines sollten Betroffene bei einer Infektion auf keinen Fall tun, nämlich auf die Forderungen der Erpresser eingehen und Lösegeld bezahlen! (pi/rnf)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*