Mallox Ransomware zielt auf Linux mit modifizierter Kryptina-Variante ab
In einer bedeutenden Verschiebung hat die Mallox-Ransomware-Operation, auch bekannt als TargetCompany, damit begonnen, eine modifizierte Version der Kryptina-Ransomware zu nutzen, um Linux-Systeme ins Visier zu nehmen. Ursprünglich als kostengünstiges Ransomware-as-a-Service (RaaS )-Tool konzipiert, wurde der Quellcode von Kryptina Anfang 2024 durchgesickert, was dazu führte, dass er von Mallox-Tochtergesellschaften übernommen wurde. Diese neue Variante, die als „Mallox Linux 1.0“ bezeichnet wird, behält die Kernfunktionen von Kryptina bei, einschließlich der AES-256-CBC-Verschlüsselung und ähnlicher Entschlüsselungsroutinen, ändert jedoch nur den Namen und einige oberflächliche Elemente wie Lösegeldforderungen und Skripte. Dieser Schritt unterstreicht den zunehmenden Fokus der Ransomware-Betreiber, die es nun nicht nur auf Windows-Umgebungen, sondern auch auf Linux- und VMWare ESXi-Systeme abgesehen haben. Die Forscher glauben, dass diese Entwicklung die Agilität von Ransomware-Gruppen bei der Anpassung und Umbenennung bestehender Tools zeigt, um ihr Spektrum potenzieller Opfer zu erweitern.
KI-generierte Malware, die bei gezielten Angriffen auf französische Nutzer eingesetzt wird
In einer kürzlich durchgeführten E-Mail-Kampagne, die sich an französische Nutzer richtete, entdeckten Forscher bösartigen Code, der wahrscheinlich mit Hilfe von künstlicher Intelligenz (KI) generiert wurde. Im Rahmen dieser Kampagne wurde AsyncRAT-Malware durch einen Prozess verbreitet, der als HTML-Schmuggel bekannt ist und ein passwortgeschütztes ZIP-Archiv einbettet. Nachdem sie das Passwort des Archivs mit Brute-Force erzwungen hatten, fanden die Forscher akribisch kommentierten Code, der auf KI-generierte Malware hindeutete. Diese Kommentare, in denen jede Codezeile erläutert wird, sind bei manuell geschriebenen bösartigen Skripten ungewöhnlich, was auf die Verwendung von generativen KI-Tools hindeutet. Die Malware nutzte VBScript, um Persistenz auf infizierten Systemen zu etablieren, und lud schließlich AsyncRAT herunter, das es Angreifern ermöglichte, Tastenanschläge auf den Rechnern der Opfer aus der Ferne zu überwachen, zu steuern und zu protokollieren. Diese Entwicklung unterstreicht die zunehmende Abhängigkeit von Cyberkriminellen, insbesondere von solchen mit begrenzten technischen Fähigkeiten, auf KI, um ausgeklügelte Malware zu erstellen, und unterstreicht das Potenzial generativer KI, um die Entwicklung fortschrittlicher Bedrohungen zu rationalisieren.
CMS-Datenpanne legt Informationen von 3,1 Millionen Menschen bei MOVEit-Angriffen offen
Die U.S. Centers for Medicare Medicaid Services (CMS) gaben bekannt, dass eine kürzliche Datenschutzverletzung über 3,1 Millionen Menschen betraf, die auf die MOVEit-Angriffe zurückzuführen ist, die von der Cl0p-Ransomware-Gruppe durchgeführt wurden. Der Verstoß ereignete sich, nachdem Hacker den Wisconsin Physicians Service (WPS) infiltriert hatten, eine Krankenversicherung, die Medicare-Verwaltungsdienstleistungen anbietet. Trotz der Anwendung von Sicherheitspatches von Progress Software, den Herstellern von MOVEit Transfer, entdeckte WPS im Mai 2024, dass Cl0p vor der Implementierung des Patches auf ihr Netzwerk zugegriffen und sensible Dateien exfiltriert hatte. Zu den gestohlenen Daten gehörten Namen, Sozialversicherungsnummern, Geburtsdaten und Angaben zu Medicare-Begünstigten. Obwohl Cl0p ransomware behauptete, dass sie Daten von Gesundheits- und Regierungsbehörden löschen würde, bleibt das Risiko, dass diese Informationen im Dark Web verkauft oder geteilt werden, erheblich. CMS bietet denjenigen, die von der Sicherheitsverletzung betroffen sind, eine 12-monatige kostenlose Kreditüberwachung an, um mögliche Auswirkungen zu mindern.
USA sanktionieren mit Russland verbundene Kryptobörsen zur Unterstützung von Ransomware-Operationen
Das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums hat zwei Kryptowährungsbörsen, Cryptex und PM2BTC, wegen der Erleichterung von Transaktionen sanktioniert, die mit russischen Ransomware-Gruppen und Cyberkriminellen in Verbindung stehen. Cryptex, das Berichten zufolge über 51 Millionen US-Dollar im Zusammenhang mit Ransomware-Angriffen gewaschen hat, hat Transaktionen im Wert von 720 Millionen US-Dollar mit Diensten abgewickelt, die von russischen Bedrohungsakteuren genutzt werden. PM2BTC wird beschuldigt, Ransomware-Betreibern die Umrechnung von Währungen in Rubel ermöglicht zu haben und dabei die Protokolle zur Bekämpfung der Geldwäsche zu vernachlässigen. Beide Börsen stehen in Verbindung mit Sergej Sergejewitsch Iwanow, einem russischen Geldwäscher, der in den letzten zwei Jahrzehnten eng mit Cyberkriminalität in Verbindung stand. Als Teil einer umfassenderen internationalen Anstrengung zielen diese Sanktionen darauf ab, die Finanznetzwerke zu zerschlagen, die die transnationale Cyberkriminalität unterstützen. US-Bürgern ist es nun untersagt, Transaktionen mit Cryptex, PM2BTC oder Ivanov durchzuführen, und alle mit ihnen verbundenen Vermögenswerte innerhalb der US-Gerichtsbarkeit werden eingefroren.
Embargo-Ransomware weitet sich auf Hybrid-Cloud-Umgebungen aus
Microsoft hat berichtet, dass die Ransomware-Gruppe Storm-0501, die für den Einsatz von Malware-Varianten wie Hive, BlackCat, LockBit und Hunters International bekannt ist, ihre Angriffe ausgeweitet hat, indem sie auf Hybrid-Cloud-Umgebungen abzielt. In letzter Zeit ist Storm-0501 auf die Verwendung von Embargo-Ransomware umgestiegen, wodurch die Auswirkungen auf die Vermögenswerte der Opferorganisationen weiter ausgeweitet werden. Diese Angriffe konzentrierten sich in erster Linie auf Krankenhäuser, Regierungsbehörden und Sektoren wie Fertigung und Transport in den USA. Storm-0501 verschafft sich ersten Zugriff, indem schwache Anmeldeinformationen und bekannte Schwachstellen wie CVE-2022-47966 (Zoho ManageEngine) und CVE-2023-4966 (Citrix NetScaler) ausgenutzt werden. Nachdem sie sich Zugang verschafft haben, bewegt sich die Gruppe seitwärts innerhalb von Netzwerken und nutzt Tools wie Impacket und Cobalt Strike, um Daten zu stehlen und Sicherheitsmaßnahmen zu deaktivieren. Durch die Nutzung kompromittierter Microsoft Entra ID-Anmeldeinformationen erweitern die Angreifer ihre Kontrolle von On-Premise-Systemen auf Cloud-Umgebungen. Einmal drin, kann der Bedrohungsakteur die Embargo-Ransomware einsetzen, um Dateien zu verschlüsseln oder einen langfristigen Hintertürzugang aufrechtzuerhalten, je nach seiner Strategie.
Erkennung von Ransomware über Windows-Ereignisprotokolle: JPCERT teilt wichtige Erkenntnisse
Das japanische Computer Emergency Response Center (JPCERT/CC) hat wertvolle Tipps zur Erkennung von Ransomware-Angriffen durch die Analyse von Windows-Ereignisprotokollen gegeben. Diese Methode kann dabei helfen, Angriffe von verschiedenen Ransomware-Varianten zu identifizieren, darunter Conti, Akira, LockBit3.0, HelloKitty, AbyssLocker und Avaddon. Diese Ransomware-Varianten hinterlassen oft Ereignisspuren wie Benachrichtigungen des Restart Managers (Ereignis-IDs: 10000, 10001), die ihre Einstiegspunkte offenlegen und bei rechtzeitigen Maßnahmen zur Eindämmung helfen. Phobos-Ransomware kann zusammen mit ähnlichen Stämmen wie 8Base und Elbie anhand von Protokollen erkannt werden, die das Löschen von Systemsicherungen anzeigen (Ereignis-IDs: 612, 524, 753). Midas ändert die Netzwerkeinstellungen und protokolliert die Ereignis-ID 7040, während BadRabbit die Ereignis-ID 7045 während der Installation der Verschlüsselungskomponente aufzeichnet. Bisamware protokolliert Windows Installer-Transaktionen (Ereignis-IDs: 1040, 1042) und bietet damit eine weitere Erkennungsmöglichkeit. Ähnliche Spuren finden sich bei Angriffen von Shade, GandCrab, AKO, AvosLocker, BlackBasta und Vice Society, weshalb diese Protokolleinträge entscheidend sind, um Ransomware zu erkennen, bevor sie sich ausbreitet. Die Überwachung dieser Protokolle, insbesondere bei moderner Malware, ist heute eine effektive Erkennungsmethode zur Bekämpfung von Ransomware.
Fazit
Die rasante Entwicklung von Ransomware-Bedrohungen, die auf Linux-Systeme abzielen, über die Nutzung von KI bis hin zur Kompromittierung von Hybrid-Cloud-Umgebungen, unterstreicht, wie wichtig es ist, eine starke Cybersicherheitsabwehr aufrechtzuerhalten.
Die Überwachung von Ereignisprotokollen und die Wachsamkeit gegenüber neuen Angriffsvektoren können dazu beitragen, potenzielle Schäden zu minimieren. Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlung und Ransomware-Lösegeldzahlungen an. Wenn Ihr Unternehmen Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff oder bei der Stärkung seiner Abwehrmaßnahmen benötigt, kontaktieren Sie uns noch heute, um Ihr Unternehmen vor zukünftigen Bedrohungen zu schützen.