Neue Variante der Ransomware CryptoBit entdeckt

Die Malware-Analysten von Palo Alto Networks, Unit 42, haben eine aktualisierte Version der Ransomware CryptoBit entdeckt, welche sich über das Rig Exploit Kit (EK) verbreitet. [...]

Am 23. und 24. Juni nutzte diese Kampagne ein Gate mit einem Domainnamen, der laut den Security-Experten auf das Rig EK hindeutet. Wann immer ein angreifbares Windows-Gerät auf diesen Traffic stößt, liefert das Rig EK auf dem Gerät CryptoBit aus, um das Gerät zu infizieren. Andere Quellen benutzen verschiedene Begriffe für diese Ransomware, etwa „CriptoBit“ oder „Mobef“ anstatt „CryptoBit“.

„Die Entwickler von CryptoBit haben ihre Schadsoftware überarbeitet um Windows-Endgeräte noch effektiver anzugreifen. Wir beobachten in letzter Zeit immer häufiger, dass Kriminelle ihre Malware verändern und optimieren. Dadurch wird es für konventionelle Sicherheitslösungen wie Antivirus-Software sehr schwer, die Malware zu stoppen“, erklärt Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks. „Die Anbieter traditioneller Sicherheitssoftware liefern sich mit den Kriminellen ein Wettrennen, dessen Geschwindigkeit immer mehr zunimmt.“

Das eingesetzte Gate überprüft die Bildschirmauflösung und Zeitzone des Opfergeräts. Der Rig EG Traffic hat sich seit Mai 2015 nicht sehr verändert, als die Verschleierung der Nutzlast auf das XOR-ing („Exklusiv-oder“-Prinzip) der Binärdaten mit einer ASCII-Reihung umgestellt wurde. Bei dieser Infektion war der Windows Host verwundbar auf Grund eines veralteten Flash-Plugins. Der CryptoBit Traffic hat einen falschen User-Agenten im HTTP Header und beinhaltet zudem eine falsche Referrer-Zeile, um die Callback-Aktivität als regulären Web Traffic zu tarnen. Nach der Infizierung öffnet sich ein Fenster auf dem Desktop des infizierten Hosts.

Darin heißt es übersetzt: „Wenn Sie Ihre Dateien wiederhaben möchten, dann mailen Sie mir unter: kyklos@lelantos.org + sycophant@sigaint.org + epiclesis@protonmail.ch + malakia@anoninbox.net. Schicken Sie eine E-Mail an alle diese Adressen, für den Fall dass eine verloren geht. Vergessen Sie nicht, später Ihren Spam-Ordner zu checken, in aller Wahrscheinlichkeit wird meine Antwort dort landen. Falls Sie anonym bleiben möchten oder Sie keine Antwort erhalten, versuchen Sie bitte Bitmessage [bitmessage.org] und die folgende Adresse zu benutzen, um mich zu kontaktieren: BM-NaxZ29ouecw2Y7ibaXKus1vxDRDtheW6. Diese Methode funktioniert 100%ig.“

Dieses Fenster lässt sich nicht verschieben. Nachdem der Host wieder hochgefahren ist, verschwindet das Popup-Fenster. Stattdessen bleibt eine Text-Datei auf dem Desktop, welche dieselben Anweisungen zur Entschlüsselung enthält. Man kann zudem Schlüsseldateien sehen. Seit dem 27. Juni hat diese Kampagne begonnen, andere Malware als bislang zu verbreiten. Zwischen dem 17. Juni und dem 27. Juni haben die Forscher von Palo Alto Networks jedoch mindestens acht Beispiele dieser aktualisierten CryptoBit-Variante entdeckt.

Weitere Details zu den Ergebnissen seiner Untersuchung haben die Security-Experten auf ihrer Webseite gesammelt. (pi)


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*