Hacker nutzen COVID-19-Pandemie zur Verbreitung datenlöschender Malware

Forscher beschreiben mindestens fünf verschiedene Varianten. Sie löschen Dateien oder überschreiben den Master Boot Record, um einen Zugriff auf die Festplatte zu verhindern. In mindestens zwei Fällen werden Daten zerstört, um vom eigentlichen Ziel der Malware abzulenken.

Sicherheitsforscher haben mehrere Malware-Varianten entdeckt, die die COVID-19-Pandemie zu ihrer Verbreitung nutzen, um Daten auf PCs zu zerstören. Derzeit sind mindestens fünf solcher Kampagnen aktiv, die entweder massenhaft Dateien löschen oder den Master Boot Record (MBR) überschreiben.

Malware (Bild Shutterstock)Den Master Boot Record nimmt eine Schadsoftware ins Visier, die das MalwareHunterTeam in einem Bericht von Sonicwall beschreibt. Sie infiziert ein System in zwei Schritten: Zuerst erscheint eine Meldung, die auf ein Problem mit einem Update-Server verweist. Während ein Nutzer vergeblich versucht, diese Meldung wegzuklicken – die Malware deaktiviert im Hintergrund den Task Manager – wird unbemerkt vom Nutzer des MBR überschrieben.

Danach startet die Malware das System neu, wobei der neue MBR eingreift und den Nutzer in eine Pre-Boot-Umgebung leitet. „Ihr Computer wurde vernichtet“, heißt es dort lapidar. Abhilfe schaffen nun nur noch spezielle Tools, die in er Lage sind, den MBR wiederherzustellen oder neu aufzubauen.

Eine weitere Schadsoftware, die den MBR zerstört, nutzt diese Technik, um von ihrer eigentlichen Aufgabe abzulenken. Nach außen „tarnt“ sich die Malware als CoronaVirus Ransomware. Allerdings ist auch die Erpressersoftware nur Fassade. Tatsächlich haben es deren Hintermänner auf Anmeldedaten und Passwörter abgesehen. Wurde diese Aufgabe erledigt, startet das System neu, wobei wiederum ein neuer MBR eine Pre-Boot-Umgebung startet, die die gefälschte Lösegeldforderung anzeigt. Sie verhindert, dass Nutzer den Diebstahl ihrer Login-Daten erkennen und Gegenmaßnahmen ergreifen.

Entdeckt wurde diese Malware vom Sicherheitsforscher Vitali Kremez von Sentinel One. Zwei Wochen später meldete der deutsche Anbieter G Data eine Variante, die sich als Screenlocker tarnt und ebenfalls den MBR überschreibt.

Das MalwareHunterTeam fand zudem zwei schädliche Anwendungen, die Dateien auf PCs löschen – allerdings nicht sehr effizient. Die erste Variante ist demnach schon seit Februar im Umlauf, die zweite erst seit wenigen Tagen. Beide setzen offenbar auf zeitraubende und fehleranfällige Methoden zur Datenlöschung. MalwareHunterTeam betont jedoch, dass beide Schadanwendungen trotzdem in der Lage sind, Dateien unwiederbringlich zu zerstören, weswegen sie als gefährlich einzustufen seien.

Warum die Hintermänner auf Malware setzen, die keine finanziellen Ziele verfolgt, ist nicht bekannt. Allerdings sind solche rein destruktiven Schädlinge keine Seltenheit. Schon beim WannaCry-Ausbruch vor drei Jahren gab es zahllose Varianten, die Dateien verschlüsselten, ohne ein Lösegeld zu fordern.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Cybercrime, Malware, Ransomware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Hacker nutzen COVID-19-Pandemie zur Verbreitung datenlöschender Malware

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *