Eine relativ neue Ransomware-Gruppe greift öffentlich zugängliche Remotedesktopverbindungen an – sogar über nicht standardmäßige Ports.
Die Gruppe mit dem Namen Venus Ransomware beendet eine Reihe legitimer Windows-Prozesse, bevor sie das Zielsystem verschlüsselt, und löscht sogar die Ereignisprotokolle und Schattenkopien, um eine Datenwiederherstellung zu verhindern.
Venus Ransomware Modus Operandi
Wie ein Sicherheitsanalyst und später BleepingComputer feststellten, zielte eine neue Ransomware namens Venus Group – die im August 2022 ihren Betrieb aufnahm – auf öffentlich zugängliche Remote-Desktop-Systeme ab.
@malwrhunterteam Hey, hast du irgendwelche Details zur „Venus“-Ransomware (nicht VenusLocker, die Erweiterung ist .venus statt .venusf). Die Infektion erfolgte über RDP. Kann bei Bedarf weitere Details in DM geben.
— linuxct (@linuxct) 6. Oktober 2022
Beginnen wir mit Die Venus-Ransomware wird versuchen, die folgenden 39 Prozesse zu beenden – im Zusammenhang mit Datenbankservern und Microsoft Office-Anwendungen – bevor mit der Verschlüsselung der Systemdaten des Opfers fortgefahren wird.
taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe
Darüber hinaus löscht die Ransomware auch die Ereignisprotokolle, Shadow Copy Volumes und deaktiviert die Datenausführungsverhinderung, um zu verhindern, dass das Opfer Daten abruft, ohne seinen Entschlüsselungsschlüssel zu verwenden. Anschließend verschlüsselt die Bande die Dateien und hängt die .Venus Erweiterung für alle verschlüsselten Dateien.
Forscher haben herausgefunden, dass alle verschlüsselten Dateien einen Dateimarker mit dem Namen „“ und andere Informationen am Ende der Datei haben, deren Zweck unklar ist. Sie erstellen jedoch eine HTA-Lösegeldforderung im Ordner %Temp%, die automatisch angezeigt wird, wenn der Verschlüsselungsvorgang abgeschlossen ist.
Die Ransomware gibt ihre TOX-Adresse und E-Mail-Adresse an, damit die Opfer kontaktiert und über das Lösegeld gesprochen werden kann. Die Forscher warnten die Systemadministratoren, die ihre Remotedesktopverbindungen geöffnet haben, und forderten sie auf, diese hinter einer Firewall zu verstecken, da auch die nicht standardmäßigen TCP-Ports betroffen sind.
Außerdem ist es sehr empfehlenswert, solche Systeme über ein VPN zugänglich zu machen, wenn sie der Öffentlichkeit zugänglich sein sollen. Experten sagen, dass die Absicherung der beste Weg ist, um Cyberangriffe zu vermeiden.
