MountLocker Ransomware veranschaulicht, wie sich Angriffe weiterentwickeln

Eine relativ neue Form von MountLocker-Ransomware scheint schnell Partner zu finden, die Angriffe starten, die immer häufiger auf eine Vielzahl von Datentypen abzielen.

Das Blackberry Research and Intelligence Team hat einen Bericht veröffentlicht, in dem festgestellt wird, dass die leichtgewichtige MountLocker-Ransomware im letzten Monat aktualisiert wurde, um sowohl das Targeting von Dateitypen zu erweitern als auch Security-Software besser zu umgehen.

Cyberkriminelle kombinieren MountLocker, das weniger als 100 Kb groß ist, mit Malware wie AdFind, um eine Netzwerkerkundung durchzuführen und CobaltStrike Beacon, um diese Malware lateral zu verbreiten, sobald sie installiert ist.

MountLocker wird über eine Ransomware-as-a-Service-Plattform verbreitet, die es ermöglicht, Dateien mit ChaCha20-Algorithmen zu verschlüsseln. Die Schlüssel zur Dateiverschlüsselung werden mit dem RSA-2048-Kryptoschema verschlüsselt. Dem Bericht zufolge werden bei den meisten Angriffen, die MountLocker einsetzen, IT-Tools verwendet, die auf dem Remote-Desktop-Protokoll (RDP) basieren, auf das sie über kompromittierte Zugangsdaten Zugriff erhalten haben. Diese Zugangsdaten wurden höchstwahrscheinlich über eine erfolgreiche Phishing-Kampagne gewonnen oder einfach im Dark Web gekauft.

Das Security-Team von Blackberry berichtet, dass es keine trivialen MountLocker-Schwächen gibt, die eine einfache Schlüsselwiederherstellung und Entschlüsselung von Daten ermöglichen würden. Das Team weist jedoch darauf hin, dass MountLocker eine kryptographisch unsichere Methode für die Generierung von Schlüsseln verwendet, die möglicherweise anfällig für Angriffe ist.

Der Bericht weist außerdem darauf hin, dass Partner MountLocker einsetzen, um sensible Kundendaten vor der Verschlüsselung über FTP herauszufiltern. Das deutet darauf hin, dass Cyberkriminelle, die diesen Angriffsvektor nutzen, damit drohen werden, sensible Daten öffentlich zu machen, wenn die Ransomware-Forderungen nicht erfüllt werden. Tatsächlich weisen aktuelle Berichte darauf hin, dass die Höhe des geforderten Lösegelds für die Bereitstellung der zur Entschlüsselung von Dateien benötigten Schlüssel stetig zunimmt. Ein von CrowdStrike veröffentlichter Bericht schätzt, dass 81 % der untersuchten Angriffe, die als finanziell motivierte Angriffe angesehen wurden, entweder Ransomware oder eine Art Vorläufer eines Ransomware-Angriffs betrafen.

Mit der Entwicklung von Ransomware-Angriffen Schritt halten

Unabhängig davon, wie und von wem Ransomware verbreitet wird, ist sie zu einem großen Geschäft geworden. Da es keine Möglichkeit gibt, diese Angriffe vollständig zu vereiteln, ist es wichtiger denn je, dass Organisationen tadellose Datenkopien haben, die zuverlässig wiederhergestellt werden können, für den Fall, dass kritische Dateien plötzlich verschlüsselt werden. Die Beziehung zwischen Cybersecurity und Backup und Wiederherstellung wird immer enger, da sich Organisationen zunehmend auf die Automatisierung des Wiederherstellungsprozesses konzentrieren, angesichts ihres Unvermögens, Ransomware-Angriffe auszulöschen, die sich anscheinend ständig weiterentwickeln. In einer kürzlich auf der Online-Konferenz Black Hat Europe durchgeführten Sitzung wurde beschrieben, wie sich Ransomware-Angriffe nicht nur ausbreiten, sondern dass die Cyberkriminellen, die diese Angriffe starten, schneller Zugang zu Unternehmensnetzwerken erhalten, da sie Techniken übernehmen, die von Anbietern von Angriffen mit Advanced Persistent Threats (APTs) entwickelt wurden.

Natürlich war es nie ratsam, den Ransomware-Forderungen von Cyberkriminellen nachzugeben. Die meisten von ihnen werden wahrscheinlich auch die Daten verkaufen, die sie sich bemüht haben, herauszufiltern, nachdem eine Ransomware-Forderung erfüllt wurde. Es gibt jedoch aus einer Vielzahl von Gründen eine Menge Einzelpersonen und Organisationen, die weiterhin das Lösegeld für die Wiederherstellung von Daten zahlen, obwohl dies nur dazu führt, dass Cyberkriminelle die erforderlichen Ressourcen erhalten, die sie benötigen, um einen weiteren Angriff zu

startenOhne Gesetze, aufgrund derer es illegal ist, solche Lösegelder im Namen des Allgemeinwohls zu zahlen, wird Ransomware Unternehmen weiterhin plagen, solange es zulässig ist.

Schützen Sie Ihr Unternehmen vor Ransomware-Angriffen