Forscher von Microsofts Threat Intelligence Center haben die Schadsoftware analysiert, die Ende vergangener Woche bei einem großangelegten Angriff auf Behörden und Einrichtungen in der Ukraine eingesetzt wurde. Ihnen zufolge sollte die Malware auf den ersten Blick „wie eine Ransomware“ aussehen – es fehle jedoch ein Mechanismus zur Wiederherstellung von Daten nach einer Lösegeldzahlung.
„Microsoft geht davon aus, dass die Malware zerstörerisch wirken soll und darauf abzielt, die Zielgeräte funktionsunfähig zu machen, anstatt ein Lösegeld zu erpressen“, erklärte das Unternehmen.
„Zum jetzigen Zeitpunkt und basierend auf den Erkenntnissen von Microsoft haben unsere Untersuchungsteams die Malware auf Dutzenden von betroffenen Systemen identifiziert, und diese Zahl könnte im Lauf unserer Untersuchung noch steigen“, so die Forscher weiter. „Diese Systeme umfassen mehrere Regierungs-, Non-Profit- und IT-Organisationen, die alle in der Ukraine ansässig sind. Wir wissen nicht, in welchem Stadium sich der Operationszyklus des Angreifers befindet und wie viele andere Opferorganisationen es in der Ukraine oder an anderen geografischen Standorten geben könnte. Es ist jedoch unwahrscheinlich, dass die betroffenen Systeme das gesamte Ausmaß der Auswirkungen repräsentieren, wie sie von anderen Organisationen gemeldet werden.“
Die Schadsoftware wird über Impacket ausgeführt und überschreibt den Master Boot Record (MBR) auf einem System mit einer Lösegeldforderung von 10.000 US-Dollar in Bitcoin. Sobald ein Gerät heruntergefahren wird, wird die Malware ausgeführt. Laut Microsoft ist es „untypisch“ für cyberkriminelle Ransomware, den MBR zu überschreiben.
Auch wenn eine Lösegeldforderung beigefügt ist, handelt es sich laut Microsoft nur um eine List. Die Malware findet Dateien in bestimmten Verzeichnissen mit Dutzenden der gängigsten Dateierweiterungen und überschreibt den Inhalt mit einer festen Anzahl von 0xCC-Bytes. Nachdem der Inhalt überschrieben wurde, benennt der Destruktor jede Datei mit einer scheinbar zufälligen Vier-Byte-Erweiterung um.
Microsoft betonte, dass das Vorgehen der Angreifer untypisch für Cybererpresser sei. „In diesem Fall überschreibt die Malware den MBR, ohne dass es einen Mechanismus zur Wiederherstellung gibt.“
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…