Hacker setzen eine neue Art von Ransomware derzeit bei zielgerichteten Angriffen gegen Windows und Linux ein. Die Tycoon genannte Malware ist offenbar bereits seit Dezember 2019 aktiv. Auch die Art und Weise, wie sie sich Zugang zu einem Netzwerk verschafft, ist v zufolge ungewöhnlich – aber wohl hilfreich, um unentdeckt zu bleiben.
„Das sind beides einzigartige Methoden. Java wird nur sehr selten zum Schreiben von Endpunkt-Malware verwendet, da es die Java-Laufzeitumgebung benötigt, um den Code ausführen zu können. Image-Dateien werden nur selten für Malware-Angriffe verwendet“, sagte Eric Milam, Vice President bei BlackBerry, im Gespräch mit ZDNet.com. „Die Angreifer verlagern sich auf ungewöhnliche Programmiersprachen und obskure Datenformate. Hier brauchten sie ihren Code nicht zu verschleiern, sind aber dennoch erfolgreich beim Erreichen ihrer Ziele.“
Das eigentlich Einfallstor von Tycoon ist jedoch nicht ungewöhnlich: unsichere, mit dem Internet verbundene RDP-Server. Oftmals kommen bei solchen Angriffen zuvor kompromittierte oder schwache Passwörter zum Einsatz.
Sobald ein Netzwerk kompromittiert wurde, bedienen sich die Cyberkriminellen einer Image File Execution Options genannten Funktion, die Entwickler eigentlich in die Lage versetzen soll, Fehler in ihrer Software zu suchen. Das Tool ProcessHacker kommt ebenfalls zum Einsatz, um Antivirensoftware abzuschalten und eine Entfernung ihre Malware zu unterbinden.
Danach geht Tycoon allerdings wie praktisch jede andere Ransomware vor. Es werden alle Dateien im Netzwerk verschlüsselt und deren Dateiendungen verändert. Das Lösegeld soll in Bitcoin bezahlt werden – seine Höhe richtet sich danach, wie schnell das Opfer mit den Erpressern Kontakt aufnimmt.
Die Forscher fanden zudem Ähnlichkeiten zu einer anderen Ransomware, die als Dharma oder Crysis bezeichnet wird. Unter anderem E-Mail-Adressen der Hacker, Dateinamen und sogar der Text der Lösegeldforderung legen eine Verbindung nahe.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Weitere schwerwiegende Fehler stecken in Android 12 und 13. Insgesamt bringt der Mai-Patchday 29 Fixes.
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
