Forscher von Microsofts Threat Intelligence Center haben die Schadsoftware analysiert, die Ende vergangener Woche bei einem großangelegten Angriff auf Behörden und Einrichtungen in der Ukraine eingesetzt wurde. Ihnen zufolge sollte die Malware auf den ersten Blick „wie eine Ransomware“ aussehen – es fehle jedoch ein Mechanismus zur Wiederherstellung von Daten nach einer Lösegeldzahlung.
„Microsoft geht davon aus, dass die Malware zerstörerisch wirken soll und darauf abzielt, die Zielgeräte funktionsunfähig zu machen, anstatt ein Lösegeld zu erpressen“, erklärte das Unternehmen.
„Zum jetzigen Zeitpunkt und basierend auf den Erkenntnissen von Microsoft haben unsere Untersuchungsteams die Malware auf Dutzenden von betroffenen Systemen identifiziert, und diese Zahl könnte im Lauf unserer Untersuchung noch steigen“, so die Forscher weiter. „Diese Systeme umfassen mehrere Regierungs-, Non-Profit- und IT-Organisationen, die alle in der Ukraine ansässig sind. Wir wissen nicht, in welchem Stadium sich der Operationszyklus des Angreifers befindet und wie viele andere Opferorganisationen es in der Ukraine oder an anderen geografischen Standorten geben könnte. Es ist jedoch unwahrscheinlich, dass die betroffenen Systeme das gesamte Ausmaß der Auswirkungen repräsentieren, wie sie von anderen Organisationen gemeldet werden.“
Die Schadsoftware wird über Impacket ausgeführt und überschreibt den Master Boot Record (MBR) auf einem System mit einer Lösegeldforderung von 10.000 US-Dollar in Bitcoin. Sobald ein Gerät heruntergefahren wird, wird die Malware ausgeführt. Laut Microsoft ist es „untypisch“ für cyberkriminelle Ransomware, den MBR zu überschreiben.
Auch wenn eine Lösegeldforderung beigefügt ist, handelt es sich laut Microsoft nur um eine List. Die Malware findet Dateien in bestimmten Verzeichnissen mit Dutzenden der gängigsten Dateierweiterungen und überschreibt den Inhalt mit einer festen Anzahl von 0xCC-Bytes. Nachdem der Inhalt überschrieben wurde, benennt der Destruktor jede Datei mit einer scheinbar zufälligen Vier-Byte-Erweiterung um.
Microsoft betonte, dass das Vorgehen der Angreifer untypisch für Cybererpresser sei. „In diesem Fall überschreibt die Malware den MBR, ohne dass es einen Mechanismus zur Wiederherstellung gibt.“
Vertrauen ist gut, Kontrolle ist besser. Besonders in der IT-Security sollte keinem Gerät und keinem…
Apple-Rechner gelten als besonders sicher. Angesichts der Bedrohung durch Ransomware bröckelt dieser Ruf, denn MacOS…
Zum vierten Jahrestag der Datenschutzgrundverordnung (DSGVO) erklärt Herbert Abben, Director DACH beim SANS Institute, dass…
Microsoft bereitet einen maßgeschneiderten Virtualisierungs-Service in der Cloud für Entwickler vor namens Microsoft Dev Box,…
Microsoft sagt, dass Windows 11 einen wichtigen Meilenstein erreicht hat und bereit für den Einsatz…
Der Einsatz für Umweltschutz lohnt sich finanziell. Gesteigerte Effizienz, Innovation und Umsatzwachstum gehören zu den…