Aktuelles, Branche - geschrieben von dp am Donnerstag, März 9, 2017 19:35 - noch keine Kommentare
RanRan: Gezielte Ransomware-Angriffe im Nahen Osten
Palo Alto Networks vermutet politische Motive der Cyber-Attacken auf Regierungsbehörden
[datensicherheit.de, 09.03.2017] Nach einer Meldung von Palo Alto Networks hat deren Forschungsabteilung „Unit 42“ Cyber-Angriffe gegen mehrere Regierungsbehörden im Nahen Osten beobachtet, bei denen eine bislang noch nicht beobachtete Ransomware-Familie verwendet wurde. Basierend auf den eingebetteten Strings innerhalb der Malware sei diese Malware „RanRan“ genannt worden.
Offensichtlich soll politische Aussage erpresst werden
Die spezifische, von dieser Malware gelieferte Lösegeldforderung und das kleine Sample-Set dieser Malware-Familie deuteten auf gezielte, maßgeschneiderte Angriffe hin. Die Analyse zeige allerdings keinerlei Verbindungen zu den jüngsten Wellen von „Shamoon-2“-Angriffen.
Der Hauptzweck von „RanRan“ sei es, Dateien auf dem System zu verschlüsseln und ein Lösegeld vom Opfer anzufordern, um diese Dateien wiederherzustellen. Im Gegensatz zu vielen anderen bekannten Ransomware-Familien verlange „RanRan“ aber nicht eine sofortige Zahlung, sondern versuche, eine politische Aussage zu erpressen.
Bekenntnis abgeben, gehackt worden zu sein
Vor einer Verhandlung über die Zahlung sollten die betroffenen Regierungsinstitutionen im Nahen Osten eine Subdomain mit dem Namen eines umstrittenen Politikers sowie einer Ransomware.txt-Datei erstellen.
Die gehostete Datei müsse den Hinweis „Hacked“ und eine E-Mail-Adresse enthalten. Die jeweilige Opfer-Institution müsse zudem eine politische Erklärung gegen das Staatsoberhaupt erstellen sowie durch das Hosting der Ransomware.txt-Datei öffentlich bekannt geben, dass sie gehackt worden sei.
Chancen für Ransomware-Befall sollen erhöht werden
„RanRan“ suche unter anderem nach „Microsoft Office“-Dateien, „Adobe Acrobat“-Dateien, Bildern, Webseiten, SQL-Abfragen sowie Archiv- und Backup-Dateien. Darüber hinaus überwache diese Malware ständig einige Microsoft- und Oracle-Dienste und -Prozesse, um sie regelmäßig zu unterbrechen.
Die „Unit 42“ sieht es als wahrscheinlich an, dass der Autor diese Dienste und Prozesse stoppen will, um die Chancen für die Ransomware zu erhöhen, entsprechende Datenbankdateien zu verschlüsseln, indem der Zugriff auf diese Dateien beschränkt wird.
„Hacktivism“-Ansatz
Die Malware selbst sei dennoch „ziemlich rudimentär“. So werde sowohl eine symmetrische Chiffre als auch ein öffentlich zugänglicher Code verwendet. Zudem mache der Akteur eine Reihe von Fehlern bei der Verschlüsselung von Dateien. Dies habe es der „Unit 42“ erlaubt, ein Skript zu erstellen, das in der Lage sei, einige der von „RanRan“ verschlüsselten Dateien wieder zu entschlüsseln.
Andere Indikatoren, wie etwa innerhalb der Malware gefundene Debug-Anweisungen, lieferten auch weitere Beweise für diese Vermutung.
Insgesamt stelle „RanRan“ eine „interessante Variante der klassischen Ransomware-Taktik“ dar – anstatt rein finanziell motiviert zu sein, verfolge dieser Akteur einen „Hacktivism“-Ansatz, indem er eine negative öffentliche Erklärung gegen ein Staatsoberhaupt erzwingen wolle.
Weitere Informationen zum Thema:
paloalto NETWORKS, 08.03.2017
Targeted Ransomware Attacks Middle Eastern Government Organizations for Political Purposes
datensicherheit.de, 21.10.2016
Sarvdap: Palo Alto Networks meldet Entdeckung eines cleveren Spam-Bots
datensicherheit.de, 24.08.2016
Palo Alto Networks: Antivirus-Lösungen für Endpoints in Behörden überfordert
Aktuelles, Experten - Juni 15, 2025 17:58 - noch keine Kommentare
Mit DSGVO-Zertifizierung das Datenschutzniveau heben
weitere Beiträge in Experten
- eco begrüßt prinzipiell Investitionssofortprogramm zur Stärkung des Wirtschaftsstandorts Deutschland
- OT Security in 2025: More Incidents, less Ransomware
- Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien
- Bundeslagebild Cybercrime 2024: BKA meldet zahlreiche Ermittlungserfolge bei anhaltend hoher Bedrohungslage
- Verbraucherzentrale NRW: Erste Hilfe bei Datendiebstahl und Geldverlust
Aktuelles, Branche - Juni 15, 2025 18:42 - noch keine Kommentare
Angeblicher Copyrightverstoß: Phishing-Angriffskampagne bedroht europäische Content-Kreatoren
weitere Beiträge in Branche
- ESET warnt vor Folgen: Tausende Überwachungskameras weltweit offen im Netz
- Instagram: Identitätsbetrug bedroht Sicherheit und Reputation von Unternehmen
- Generative KI boomt – zunehmende Sicherheitsrisiken als Kehrseite der Medaille
- Software-Supply-Chain-Angriffe in der Industrie als TOP-1-Cybergefahr
- Cybercrime Risiko Index warnt vor Cyberangriffen: Deutsche Verbraucher und KMU stark betroffen
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren