Forscher von Microsofts Threat Intelligence Center haben die Schadsoftware analysiert, die Ende vergangener Woche bei einem großangelegten Angriff auf Behörden und Einrichtungen in der Ukraine eingesetzt wurde. Ihnen zufolge sollte die Malware auf den ersten Blick „wie eine Ransomware“ aussehen – es fehle jedoch ein Mechanismus zur Wiederherstellung von Daten nach einer Lösegeldzahlung.
„Microsoft geht davon aus, dass die Malware zerstörerisch wirken soll und darauf abzielt, die Zielgeräte funktionsunfähig zu machen, anstatt ein Lösegeld zu erpressen“, erklärte das Unternehmen.
„Zum jetzigen Zeitpunkt und basierend auf den Erkenntnissen von Microsoft haben unsere Untersuchungsteams die Malware auf Dutzenden von betroffenen Systemen identifiziert, und diese Zahl könnte im Lauf unserer Untersuchung noch steigen“, so die Forscher weiter. „Diese Systeme umfassen mehrere Regierungs-, Non-Profit- und IT-Organisationen, die alle in der Ukraine ansässig sind. Wir wissen nicht, in welchem Stadium sich der Operationszyklus des Angreifers befindet und wie viele andere Opferorganisationen es in der Ukraine oder an anderen geografischen Standorten geben könnte. Es ist jedoch unwahrscheinlich, dass die betroffenen Systeme das gesamte Ausmaß der Auswirkungen repräsentieren, wie sie von anderen Organisationen gemeldet werden.“
Die Schadsoftware wird über Impacket ausgeführt und überschreibt den Master Boot Record (MBR) auf einem System mit einer Lösegeldforderung von 10.000 US-Dollar in Bitcoin. Sobald ein Gerät heruntergefahren wird, wird die Malware ausgeführt. Laut Microsoft ist es „untypisch“ für cyberkriminelle Ransomware, den MBR zu überschreiben.
Auch wenn eine Lösegeldforderung beigefügt ist, handelt es sich laut Microsoft nur um eine List. Die Malware findet Dateien in bestimmten Verzeichnissen mit Dutzenden der gängigsten Dateierweiterungen und überschreibt den Inhalt mit einer festen Anzahl von 0xCC-Bytes. Nachdem der Inhalt überschrieben wurde, benennt der Destruktor jede Datei mit einer scheinbar zufälligen Vier-Byte-Erweiterung um.
Microsoft betonte, dass das Vorgehen der Angreifer untypisch für Cybererpresser sei. „In diesem Fall überschreibt die Malware den MBR, ohne dass es einen Mechanismus zur Wiederherstellung gibt.“
Von ihr geht ein hohes Risiko aus. Angreifbar sind Chrome für Windows, macOS und Linux.
Forschende des KIT haben ein Modell zur Emotionsanalyse entwickelt, das affektive Zustände ähnlich genau wie…
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…