MountLocker Ransomware veranschaulicht, wie sich Angriffe weiterentwickeln

Druckfreundlich, PDF & E-Mail

Eine relativ neue Form der MountLocker-Ransomware scheint schnell Anhänger zu finden, die immer öfter Angriffe auf eine Vielzahl von Datentypen starten.

Das Blackberry Research and Intelligence Team hat einen Bericht veröffentlicht, in dem darauf hingewiesen wird, dass die leichtgewichtige MountLocker-Ransomware im letzten Monat aktualisiert wurde, um sowohl die Zielrichtung der Dateitypen zu erweitern als auch die Sicherheitssoftware besser zu umgehen.

Cyberkriminelle kombinieren MountLocker, das weniger als 100Kb groß ist, mit Malware wie AdFind, um eine Netzwerkerkundung durchzuführen, und CobaltStrike Beacon, um diese Malware lateral zu verbreiten, sobald sie installiert ist.

Erfahren Sie, wie Cyberkriminelle #MountLocker #Ransomware mit anderer #Malware kombinieren, um sie zu verbreitenTwittern

MountLocker wird über eine Ransomware-as-a-Service-Plattform verbreitet, die es ermöglicht, Dateien mit ChaCha20-Algorithmen zu verschlüsseln. Die Schlüssel zur Dateiverschlüsselung werden mit dem RSA-2048-Kryptoschema verschlüsselt. Laut dem Bericht werden bei den meisten Angriffen, die MountLocker einsetzen, in IT-Tools verwendet, die auf dem Remote-Desktop-Protokoll (RDP) basieren, auf das sie über kompromittierte Anmeldeinformationen Zugriff erhalten haben. Diese Anmeldedaten wurden höchstwahrscheinlich über eine erfolgreiche Phishing-Kampagne erlangt oder einfach im Dark Web gekauft.

Das BlackBerry-Sicherheitsteam berichtet, dass es keine trivialen MountLocker-Schwachstellen gibt, die eine einfache Schlüsselwiederherstellung und Entschlüsselung von Daten ermöglichen würden. Das Team weist jedoch darauf hin, dass MountLocker eine kryptographisch unsichere Methode für die Generierung von Schlüsseln verwendet, die möglicherweise anfällig für Angriffe ist.

Der Bericht weist außerdem darauf hin, dass MountLocker eingesetzt wird, um sensible Kundendaten vor der Verschlüsselung über FTP zu exfiltrieren. Das deutet darauf hin, dass Cyberkriminelle, die diesen Angriffsvektor nutzen, damit drohen, sensible Daten öffentlich zu machen, wenn die Ransomware-Forderungen nicht erfüllt werden. Jüngste Berichte zeigen, dass die Höhe des geforderten Betrags für die Bereitstellung der zur Entschlüsselung von Dateien benötigten Schlüssel stetig steigt. Ein von CrowdStrike herausgegebener Bericht schätzt, dass 81 % der untersuchten Angriffe, die als finanziell motivierte eingestuft wurden, entweder Ransomware oder eine Art Vorstufe zu einem Ransomware-Angriff beinhalteten.

Mit der Entwicklung von Ransomware-Angriffen Schritt halten

Unabhängig davon, wie und von wem Ransomware verbreitet wird, ist sie zu einem großen Geschäft geworden. Da es keine Möglichkeit gibt, diese Angriffe vollständig zu vereiteln, ist es für Unternehmen wichtiger denn je, einwandfreie Kopien von Daten zu haben, die zuverlässig wiederhergestellt werden können, für den Fall, dass kritische Dateien plötzlich verschlüsselt werden. Das Verhältnis zwischen Cybersicherheit und Backup und Recovery wird zunehmend enger, da sich Unternehmen mehr auf die Automatisierung des Wiederherstellungsprozesses konzentrieren, weil sie nicht in der Lage sind, Ransomware-Angriffe abzuwehren, die sich anscheinend ständig weiterentwickeln. Eine kürzlich stattgefundene Veranstaltung auf der Online-Konferenz Black Hat Europe zeigte, dass Ransomware-Angriffe nicht nur zunehmen, sondern dass die Cyberkriminellen, die diese Angriffe starten, immer schneller Zugang zu Unternehmensnetzwerken erlangen, da sie Techniken übernehmen, die von den Urhebern von Angriffen mit fortschrittlichen, anhaltenden Bedrohungen (APTs) entwickelt wurden.

Natürlich ist es nie ratsam, den Ransomware-Forderungen der Cyberkriminellen nachzugeben. Die meisten von ihnen werden wahrscheinlich auch dann Daten verkaufen, für die sie sich die Mühe gemacht haben, sie zu exfiltrieren, wenn eine Ransomware-Forderung erfüllt wurde. Es gibt jedoch viele Einzelpersonen und Unternehmen, die aus verschiedenen Gründen weiterhin Lösegelder für die Wiederherstellung von Daten zahlen, obwohl dies nur dazu führt, dass Cyberkriminelle die erforderlichen Ressourcen für einen weiteren Angriff erhalten.

Solange es keine Gesetze gibt, die es illegal machen, solche Lösegelder im Namen des Allgemeinwohls zu zahlen, wird Ransomware Unternehmen wohl weiterhin plagen.

Schützen Sie Ihr Unternehmen vor Ransomware-Angriffen

Nach oben scrollen
Twittern
Teilen
Teilen