Hinweis: Der folgende Artikel hilft Ihnen weiter: Bei dieser Ransomware handelt es sich tatsächlich um Malware, die Ihre Dateien löscht
Microsoft hat eine neue Malware-Familie namens „Whispergate“ identifiziert, die sich als Ransomware ausgibt und dabei „zerstörerischere Aktionen“ ausführt.
Die „Ransomware“ – bei der es sich in Wirklichkeit um Malware handelt – hat Unternehmen in der Ukraine getroffen, Microsoft räumt jedoch ein, dass es möglicherweise nicht identifizierte Opfer an „anderen geografischen Standorten“ gibt, zu denen auch die USA und Großbritannien gehören könnten.
Die Malware dient auch als neueste Erinnerung an die Wichtigkeit der Installation Antiviren Softwarewas möglicherweise Ihre Haut rettet, wenn Sie Ziel dieser Art von Angriff sind.
Was verlangt die „Ransomware“?
Infizierten Opfern wird ein „Lösegeldschein“ zugestellt, der sie darüber informiert, dass ihre „Festplatte beschädigt“ wurde und dass für die Wiederherstellung Bitcoin im Wert von 10.000 US-Dollar erforderlich ist.
Der Hinweis wird angezeigt, indem der Master Boot Record (MBR) überschrieben wird – der Teil der Festplatte, der Geräte anweist, wie sie ihr Betriebssystem laden sollen. Diese Methode wird normalerweise nicht bei Ransomware-Angriffen verwendet. das erste Anzeichen dafür, dass dies etwas ganz anderes sein könnte.
Entsprechend der Microsoft Threat Intelligence Center (MSTIC)wird die Malware oft „stage1.exe“ genannt und über Impacket ausgeführt – eine Sammlung von Python-Klassen, die häufig von Bedrohungsakteuren zur Ausführung von Angriffen verwendet werden.
Stage2.exe – eine weitere an den Angriffen beteiligte Datei – wird dann verwendet, um dateischädigende Malware auf die Computer der Opfer herunterzuladen. Die Malware identifiziert Dateien in bestimmten Verzeichnissen, überschreibt sie und benennt die Dateien anschließend um.
MSTIC stellte fest, dass der Code nicht nur auf System-MBRs abzielte, sondern auch mehrere andere Merkmale aufwies, die darauf hindeuteten, dass es sich nicht um einen typischen Ransomware-Angriff handelte.
Beispielsweise sind Forderungen nach Ransomware-Nachrichten in der Regel spezifisch auf das Ziel gerichtet (je größer das Unternehmen, desto mehr wird verlangt), wohingegen diese Nachricht allen Opfern die gleiche Lösegeld-Payload schickte.
Eine weitere damit verbundene Funktion, die in den meisten Ransomware-Angriffen enthalten ist, sind benutzerdefinierte IDs, die Opfer bei der Korrespondenz mit dem Angreifer verwenden sollen – so können Angreifer wissen, welche Entschlüsselungsschlüssel sie senden müssen, sobald das Lösegeld gezahlt wurde. Bei den gemeldeten Angriffen wurden keine benutzerdefinierten IDs verwendet.
Wann wurde die Bedrohung erkannt und wer steckt dahinter?
Laut MSTIC tauchte die Malware erstmals am 13. Januar dieses Jahres auf den Systemen der Opfer auf. Alle bisher gefundenen betroffenen Unternehmen haben ihren Sitz in der Ukraine.
In einem anderen PostMicrosoft erklärt, dass der Angriff „so konzipiert ist, dass er wie Ransomware aussieht, ihm aber ein Lösegeld-Wiederherstellungsmechanismus fehlt“, mit dem Ziel, „anvisierte Geräte funktionsunfähig zu machen, anstatt ein Lösegeld zu erpressen“.
Das Unternehmen gibt jedoch zu, dass dies der Fall sei[es] Ich kenne den aktuellen Stand des Operationszyklus dieses Angreifers nicht“ und dass dies Auswirkungen auf weitere Organisationen mit Sitz in der Ukraine und „anderen geografischen Standorten“ haben könnte.
Besorgniserregend ist, dass zu den Betroffenen Regierungssysteme, gemeinnützige Organisationen und Organisationen der Informationstechnologie gehören, was bedeutet, dass das tatsächliche Ausmaß des Angriffs größer sein könnte als derzeit angenommen.
Reuters Berichte dass die Ukraine davon ausgeht, dass die Ransomware von einer mit belarussischen Geheimdiensten verbundenen Gruppe erstellt worden sein könnte und dass die Malware anderen Schadcodes ähnelt, die zuvor von russischen Bedrohungsakteuren verwendet wurden.
Der EU-Außenbeauftragte Josep Borrell hingegen sagte, er habe „keine Beweise dafür, wer dafür verantwortlich sei“, aber „wir können uns vorstellen, wer dahinter steckt.“
Könnte sich die Malware auf US-Unternehmen auswirken?
Ransomware-Angriffe werden immer häufiger und die USA stehen an der Spitze der Liste der am häufigsten angegriffenen Länder – das stellte das Cybersicherheitsunternehmen BitDefender Ende 2021 fest 25 % der Ransomware-Angriffe zielen auf die USA ab.
Trotz des Aufstiegs von „Ransomware-as-a-Service“ – kommerziell erhältlicher Ransomware, die online erworben werden kann – zeigt die Existenz gefälschter Ransomware-Angriffe wie dieser, dass die echten Befürchtungen der Opfer vor echter Ransomware ausreichen ein schnelles Geld und nicht der Schadcode selbst.
Kürzlich gab es Berichte darüber, dass andere „gefälschte“ Ransomware US-Unternehmen und -Organisationen befallen hat.
Im November 2021 hat der Website-Sicherheitsspezialist Sucuri gemeldet dass WordPress-Sites mit gefälschten Ransomware-Nachrichten angegriffen wurden, in denen Bitcoin-Zahlungen (im Wert von etwa 6.000 US-Dollar) gefordert wurden oder dass Dateien „gelöscht“ würden.
Tatsächlich war keine der Dateien, auf die der Bedrohungsakteur verwiesen hatte, verschlüsselt, und es stellte sich heraus, dass es sich bei der Ransomware-Nachricht lediglich um eine HTML-Seite handelte, die von einem gefälschten Plugin generiert wurde. Es wurde festgestellt, dass ein einfacher SQL-Befehl alle Artikel identifizierte, deren Status auf „veröffentlicht“ gesetzt war, und ihn auf „null“ änderte – alle Dateien waren also weiterhin zugänglich, sie wurden lediglich ausgeblendet.
Wie kann sich mein Unternehmen schützen?
Die beiden in diesem Artikel erwähnten Arten von „gefälschten“ Ransomware-Angriffen beziehen sich auf unterschiedliche vorbeugende Maßnahmen, die Ihr Unternehmen ergreifen sollte, um sich vor Malware zu schützen.
Der ukrainische Fall ist die jüngste Erinnerung an die Bedeutung der Installation Antiviren Software auf Ihren Geräten, sei es Ihr persönlicher Computer oder Firmengeräte.
Microsoft empfiehlt außerdem, „alle Authentifizierungsaktivitäten für die RAS-Infrastruktur zu überprüfen, mit besonderem Schwerpunkt auf Konten, die mit Ein-Faktor-Authentifizierung konfiguriert sind“ und die Multi-Faktor-Authentifizierung zu aktivieren.
Der WordPress-Fall hingegen spiegelt das Bedürfnis wider, dass jeder in Ihrem Unternehmen darüber informiert werden muss, wie ein Ransomware-Angriff aussieht und wie er funktioniert. Im Jahr 2022 ist ein Ransomware-Reaktionsplan, über den alle Mitarbeiter informiert sind, ein Muss.
Einer Ransomware-Bedrohungsgruppe Geld für Ihre Informationen zu zahlen, ist eine Sache – aber einem Bedrohungsakteur nachzugeben, der keine Ihrer Dateien tatsächlich verschlüsselt oder gestohlen hat oder tatsächlich nichts wiederherstellen kann, selbst wenn Sie zahlen, wäre das schon noch frustrierender sein.
