Aktuelles, Branche - geschrieben von dp am Mittwoch, April 26, 2017 21:38 - noch keine Kommentare
Mole: Neue Ransomware mit steigender Komplexität und schnellem Taktikwechsel
Anti-Malware-Team von Palo Alto Networks warnt vor bösartige Spam-Kampagne
[datensicherheit.de, 26.04.2017] Nach Angaben des Anti-Malware-Teams von Palo Alto Networks tritt derzeit eine neue gefährliche, bösartige Spam-Kampagne auf, welche mit Links die Betroffenen auf gefälschte online gestellte „Microsoft-Word“-Seiten umleitet. Auf diesen gefälschten Seiten würden die Opfer aufgefordert, „Microsoft Office“-Plugins zu installieren, wobei es sich dabei um „verkleidete Malware“ handele. Diese Kampagne nutze eine Ransomware namens „Mole“.
Schneller Taktikwechsel und zunehmende Komplexität
Die Namen für alle mit dieser Ransomware – offenbar Teil der Familie „CryptoMix“ – verschlüsselten Dateien ende mit „.MOLE“. Sie teile viele Eigenschaften mit den „Revenge“- und „CryptoShield“-Varianten von „CryptoMix“.
Das Besondere an dieser Malware-Kampagne sei, dass sie seit der Entdeckung schnell die Taktik geändert und die Komplexität erhöht habe. So hätten die Cyber-Kriminellen bereits zwei Tage nach der Enttarnung das Format geändert und zusätzliche Malware gestartet – neben „Mole“-Ransomware würden sich die Opfer nun mit „Kovter“ und „Miuref“ infizieren. Am dann folgenden Tag hätten die Angreifer die Nutzung eines Umleitungslinks in der bösartigen Spam-Mail gestoppt und stattdessen auf eine direkte Verknüpfung mit einer falschen „Word“-Online-Website gesetzt.
Kampagne missbrauchte zunächst „Google Docs“
Anfangs seien auf der gefälschten „Word“-Online-Seite „Google-Docs“-Links verwendet worden, um „Mole“-Ransomware als „Office“-Plugin zu tarnen. Die Cyber-Kriminelle hinter dieser Kampagne hätten zunächst „Google Docs“ missbraucht, um einen Link für eine ausführbare Datei bereitzustellen. Die Dateinamen seien „plug-in.exe“ oder „plugin.exe“ gewesen. Nach dem Herunterladen der ausführbaren Datei habe das Opfer die Ransomware ausgeführt und so seinen „Windows“-PC infiziert.
Dann habe die Kampagne erneut die Taktik gewechselt: Die gefälschten „Microsoft Word“-Websites hätten keine „Google-Docs“-URL mehr genutzt, um ihre Malware bereitzustellen. Stattdessen sei die Malware nun als „Zip“-Archiv direkt aus der kompromittierten Website mit der gefälschten „Microsoft Word“-Online-Seite gesendet worden. Diese „Zip“-Archive hätten „JavaScript“-Dateien (.js) enthalten – offensichtlich entworfen, um „Windows“-Computer mit „Mole“-Ransomware und zusätzlicher Malware zu infizieren.
Banking-Trojaner „KINS“ mittels „Kovter“ und „Miuref“ verbreitet
Die meisten großflächigen bösartigen Spam-Kampagnen neigten dazu, bei Operationsmustern zu bleiben, die für Malware-Forscher viel einfacher zu identifizieren und zu verfolgen seien. Diese Kampagne habe sich schneller entwickelt als es normalerweise zu beobachten sei.
Eine solche Veränderungstaktik sei wahrscheinlich ein Weg, um eine Erkennung zu vermeiden. Und: Diese Kampagne entwickele sich weiter! Am 18. April 2017 hätten die Akteure gar begonnen, den Banking-Trojaner „KINS“ mittels „Kovter“ und „Miuref“ zu verbreiten. Am 21. April 2017 habe zudem die Thematik der Spam-Mails gewechselt.
Ransomware-Familien veränderten sich ständig. „CryptoMix“-Varianten wie „Mole“ blieben selten für mehr als ein paar Wochen erhalten, bevor sie neu verpackt und als neue Variante verteilt würden. Palo Alto Networks will diese Aktivität weiterhin auf die anwendbaren Indikatoren hin untersuchen, um die Community zu informieren und seine Threat-Prevention-Plattform weiter zu verbessern.
Weitere Informationen zum Thema:
datensicherheit.de, 11.10.2016
Proofpoint auf der „it-sa 2016“: Neue Rechercheergebnisse zu Ransomware- und Banking-Trojanern
datensicherheit.de, 06.05.2016
1. Quartal 2016 brachte weltweit 30 Prozent mehr Ransomware-Attacken
Aktuelles, Experten, Veranstaltungen - Okt 2, 2024 18:15 - noch keine Kommentare
Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
weitere Beiträge in Experten
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
- Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
Aktuelles, Branche - Okt 4, 2024 18:53 - noch keine Kommentare
Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
weitere Beiträge in Branche
- Hacker nehmen verstärkt Rentner ins Visier
- Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur
- Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem
- Telegram: Lothar Geuenich plädiert für Balance zwischen Sicherheit und Verantwortung
- Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren