Ransomware

Cybersecurity-Bedrohungshinweis: Malware- und Ransomware-Angriffe gegen ukrainische Organisationen

Druckfreundlich, PDF & E-Mail

Im Rahmen des anhaltenden Konflikts zwischen Russland und der Ukraine haben Sicherheitsexperten Cyberangriffe auf ukrainische Regierungsstellen beobachtet, bei denen ein überwältigendes Maß an Internetverkehr und Malware zur Vernichtung von Daten eingesetzt wurde. Nach weiteren Analysen hat die ukrainische Regierung Software und Taktiken gefunden, die mit russischen Bedrohungsakteuren in Zusammenhang stehen. Um möglicherweise betroffenen Organisationen außerhalb der Ukraine zu helfen, haben Regierungsbehörden Hinweise zur Vorbeugung, Erkennung und Reaktion auf diese Cyberangriffe veröffentlicht.

Bedrohungshinweis – Technische Details und weitere Informationen

Welcher Art ist die Bedrohung?

Während die Spannungen zwischen Russland und der Ukraine eskalieren, sind zwei neue Malware-Bedrohungen aufgetaucht, die zahlreiche Computer in der Region infizieren. Bei den beiden als „Cyclops Blink“ und „WhisperGate“ bezeichneten Bedrohungen handelt es sich um Schadsoftware, die ukrainische Regierungsbehörden und Organisationen mit angeblichen Verbindungen zu russischen Bedrohungsakteuren befallen hat. Bei der Malware „Cyclops Blink“ handelt es sich um ein ausgeklügeltes Botnet, das WatchGuard-Firewall-Geräte zur Verbreitung zerstörerischer Malware nutzt. Die Malware „WhisperGate“ ist eine Art von Ransomware, die das MBR (Master Boot Record) eines Geräts kompromittiert und die Festplatte beschädigt. Den Opfern wird eine Lösegeldforderung angezeigt, die sie glauben lässt, dass ihre Daten bei Bezahlen eines Lösegelds wiederhergestellt werden.

Warum sollte man aufmerksam sein?

Da diese Reihe von Angriffen auf ukrainische Organisationen andauert, sollten Unternehmen verstärkt mit Cybersecurity-Angriffen und -Vorfällen rechnen, die auch auf andere Länder übergreifen können. CISA und NCSC veröffentlichen Empfehlungen, um Unternehmen dabei zu unterstützen, ihre kritischen Assets besser vor einer Infektion mit dieser bösartigen Software zu schützen. Auch wenn die USA derzeit nicht bedroht werden, besteht das potenzielle Risiko, dass die russische Regierung zerstörerische Maßnahmen gegen andere Länder außerhalb der Ukraine ergreift.

Wie hoch ist Risiko einer Exposition?

Die Cyclops-Blink-Malware wurde auf WatchGuard-Geräte aufgespielt und wirkt sich auf etwa 1 Prozent aller Firewall-Geräte aus, die von Geschäftskunden eingesetzt werden. Sobald ein Gerät infiziert ist, kann die Malware Dateien auf ihren Command-and-Control-Server (CnC) hoch- und herunterladen, Informationen über das Gerät sammeln und abrufen sowie Updates der Malware durchführen. Außerdem nutzt die Malware die legitime Firmware eines infizierten Geräts, um ihre Präsenz auch nach dem Neustart des Geräts aufrechtzuerhalten.

Bei der WhisperGate-Malware handelt es sich bekanntermaßen um einen MBR-Wiper (Master Boot Record) der Stufe 3, der das MBR zerstört und Dateien auf angeschlossenen Speichergeräten beschädigt. Wenn das Gerät infiziert ist, wird dem Opfer eine Lösegeldnachricht angezeigt, die darauf hinweist, dass die Festplatte des Geräts infiziert wurde und dass die Daten nur nach Zahlung eines Lösegelds wiederhergestellt werden können. Es handelt sich jedoch um eine zerstörerische Malware, die dafür bekannt ist, dass sie infizierte Geräte funktionsunfähig macht. Die Daten können nach der Infizierung des Geräts nicht wiederhergestellt werden, selbst wenn die Zahlung erfolgt ist.

Welche Empfehlungen haben Sie?

Barracuda MSP empfiehlt Unternehmen, eine externe Backup-Strategie zum Schutz ihrer Daten vor der WhisperGate-Malware zu entwickeln. Wenn Ihr Unternehmen WatchGuard-Firewall-Geräte einsetzt, deaktivieren Sie den uneingeschränkten Verwaltungszugriff aus dem Internet und aktualisieren Sie das Firewall-Gerät auf die neueste Firmware-Betriebsversion. Prüfen Sie außerdem, ob Ihre Software auf dem neuesten Stand ist und die neuesten Patches installiert sind.

Referenzen

Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:

Bei Fragen wenden Sie sich bitte an unser Security Operations Center.

Dieser Beitrag basiert auf einem Bedrohungshinweis, der von unserem Barracuda Managed XDR-Team veröffentlicht wurde.

Nach oben scrollen
Twittern
Teilen
Teilen