Aktuelles, Branche, Produkte - geschrieben von cp am Mittwoch, Juli 3, 2019 13:59 - noch keine Kommentare
„Sodin“: Neue Ransomware installiert sich ohne Nutzerinteraktion
Schadsoftware nutzt Windows-Schwachstelle aus / „Heaven’s Gate“-Technik erschwert Erkennung / Attackierte Nutzer vor allem in Asien, aber auch in Deutschland und Italien
[datensicherheit.de, 03.07.2019] Kaspersky-Forscher haben eine neue Verschlüsselungs-Ransomware namens „Sodin“ entdeckt [1], die eine kürzlich entdeckte Zero-Day-Windows-Sicherheitslücke ausnutzt, um erhöhte Berechtigungen in einem infizierten System zu erlangen. Des Weiteren nutzt sie die Architektur der Central Processing Unit (CPU), um eine Erkennung zu vermeiden, und benötigt keine Nutzerinteraktion zur Infizierung.
Ransomware ist eine ständige Cyberbedrohung für Privatanwender und Unternehmen
Ransomware, die Geräte oder Daten verschlüsselt oder sperrt und Lösegeld verlangt, ist eine ständige Cyberbedrohung für Privatanwender und Unternehmen. Die meisten Sicherheitslösungen erkennen bekannte Versionen und etablierte Angriffsmethoden. Die Sodin-Ransomware ist allerdings anspruchsvoller und nutzt eine kürzlich entdeckte Zero-Day-Sicherheitslücke in Windows (CVE-2018-8453) [2] aus, um seine Rechte auf dem betroffenen System auszuweiten.
Malware als Ransomware-as-a-Service (RaaS)
Die Malware scheint Teil eines RaaS-Programms (Ransomware-as-a-Service) zu sein. Die Hintermänner, die den Schädling in Umlauf bringen, können dabei frei entscheiden, wie der Verschlüsseler in Umlauf gebracht werden
soll. Es gibt Anzeichen dafür, dass die Malware über ein Partnerprogramm verbreitet wird. So haben die Malware-Entwickler eine Lücke in der Funktionalität hinterlassen, die es ihnen ermöglicht, Dateien zu entschlüsseln, ohne dass ihre Partner es wissen: eine Art Hauptschlüssel, der nicht den Schlüssel des Partners beziehungsweise Verteilers zur Entschlüsselung benötigt. Damit können die Entwickler Opferdaten entschlüsseln sowie die Verteilung der Ransomware kontrollieren, indem beispielsweise bestimmte Distributoren aus dem Partnerprogramm ausgeschlossen werden und die Malware unbrauchbar gemacht wird.
„Ransomware ist eine sehr beliebte Art von Malware, aber es kommt nicht oft vor, dass wir eine so ausgefeilte und hochentwickelte Version sehen“, erklärt Fedor Sinitsyn, Sicherheitsforscher bei Kaspersky. „Die Verwendung der CPU-Architektur, um unter dem Radar zu fliegen, ist für Verschlüsseler keine gängige Praxis. Wir erwarten einen Anstieg der Angriffe durch Sodin, da die Menge an Ressourcen, die zum Erstellen solcher Malware erforderlich sind, erheblich ist. Diejenigen, die in die Entwicklung der Malware investiert haben, erwarten auf jeden Fall, dass sie sich bezahlt machen.“
Sodin hatte bisher vor allem Opfer im asiatischen Raum im Visier: 17,6 Prozent der Angriffe wurden in Taiwan, 9,8 Prozent in Hongkong und 8,8 Prozent in der Republik Korea entdeckt. Es wurden jedoch auch Angriffe in Europa – darunter auch Deutschland und Italien -, Nordamerika und Lateinamerika beobachtet. Die Ransomware-Notiz, die auf infizierten PCs hinterlassen wird, verlangt von jedem Opfer Bitcoin im Wert von 2.500 US-Dollar für die Entschlüsselung.
Komplexe und hochentwickelte Ransomware
Ransomware erfordert normalerweise eine Form der Interaktion des Nutzers wie das Öffnen eines Anhangs in einer Mail oder das Anklicken eines schädlichen Link. Bei Sodin ist dies anders: Die Angreifer suchten sich anfällige Server und sendeten einen Befehl zum Herunterladen einer schädlichen Datei namens „radm.exe“, wodurch die Ransomware lokal gespeichert und ausgeführt wurde.
Ransomware durch „Heaven’s Gate“-Technik schwer zu erkennen
Sodin nutzt zudem die sogenannte „Heaven’s Gate“-Technik, wodurch die Ransomware schwer zu erkennen ist. Mit dieser Technik kann ein schädliches Programm 64-Bit-Code aus einem laufenden 32-Bit-Prozess ausführen, was keine alltägliche Praxis ist und bei Ransomware nicht häufig vorkommt.
Die Forscher glauben, dass diese in Sodin aus zwei Hauptgründen verwendet wird:
- um die Analyse des Schadcodes zu erschweren. Der Grund: Nicht alle Debugger (Software zur Code-Analyse) unterstützen diese Technik und können sie daher nicht erkennen;
- um der Erkennung durch installierte Sicherheitslösungen zu entgehen. Die Technik wird verwendet, um die emulationsbasierte Erkennung zu umgehen. Hierbei handelt es sich um eine Methode zum Aufdecken zuvor unbekannter Bedrohungen, bei der Code in einer virtuellen Umgebung gestartet wird, die einem realen Computer ähnelt. So soll verdächtiges Verhalten einer Software aufgedeckt werden.
Kaspersky-Sicherheitstipps für Unternehmen
- Die verwendete Software sollte regelmäßig aktualisiert werden. Sicherheitsprodukte mit Funktionen zur Schwachstellenanalyse und zum Patch-Management können dazu beitragen, diese Prozesse zu automatisieren.
- Die Verwendung einer zuverlässigen Sicherheitslösung wie Kaspersky Endpoint Security for Business, die über verhaltensbasierte Erkennungsfunktionen verfügt, schützt vor bekannten und unbekannten Bedrohungen einschließlich Exploits.
Kaspersky-Sicherheitslösungen erkennen die Ransomware als Trojan-Ransom.Win32.Sodin. Die Schwachstelle CVE-2018-8453, die die Ransomware verwendet, wurde von Kaspersky-Technologie entdeckt, als sie von einem Bedrohungsakteur ausgenutzt wurde. Die Forscher glauben, dass die Gruppe FruityArmor dahintersteckt. Die Schwachstelle wurde am 10. Oktober 2018 behoben.
Weitere Informationen zum Thema:
[1] https://securelist.com/sodin-ransomware/91473/
[2] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8453
datensicherheit.de, 17.06.2019
Mutmaßliche Ransomware-Attacke auf Flugzeugbau-Zulieferer
datensicherheit.de, 09.05.2019
Ransomware: Deutschlands Unternehmen und Behörden haben ein neues altes Problem
datensicherheit.de, 08.05.2019
Mehr IT-Bedrohungen durch Ransomware
Aktuelles, Experten - Dez 11, 2024 21:16 - noch keine Kommentare
„Power Off“: BKA meldet internationale Anti-DDoS-Operation gegen Stresser-Dienste
weitere Beiträge in Experten
- vzbv-Stellungnahme zum Forschungsdatenzugang: Mehr Transparenz auf digitalen Plattformen gefordert
- Bitkom artikuliert vorab Bedenken: KI-Stellungnahme des EDSA noch im Dezember 2024 erwartet
- Verbraucherzentrale reicht nach BGH-Urteil zu facebook-Datenleck Sammelklage ein
- Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
- Crimenetwork: BKA und ZIT gelang Abschaltung
Aktuelles, Branche, Studien - Dez 11, 2024 21:25 - noch keine Kommentare
Deepnude AI Image Generator: Cyber-Kriminelle lockten Opfer mit speziellem Köder
weitere Beiträge in Branche
- Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf
- KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren