Wormhole-Ransomware sperrt Dateien der Opfer
Bei unserer Untersuchung der Wormhole-Malware haben wir festgestellt, dass sie als Ransomware fungiert, deren Hauptziel darin besteht, Dateien zu verschlüsseln und Lösegeld für die Entschlüsselung zu fordern. Neben der Verschlüsselung von Dateien ändert Wormhole Dateinamen, indem es die Erweiterung „.Wormhole“ anhängt (z. B. wird „1.jpg“ in „1.jpg.Wormhole“, „2.png“ in „2.png.Wormhole“ usw. umbenannt).
Die Ransomware enthält außerdem eine Lösegeldforderung („So stellen Sie mit Wormhole.txt verschlüsselte Dateien wieder her“), die die Opfer anweist, mit den Angreifern über Tox oder qTox zu kommunizieren (mit Download-Links für diese Tools). Sie rät den Opfern, einen Proxy zu konfigurieren, falls das Chat-Tool Probleme mit der Internetverbindung hat.
Darüber hinaus enthält die Nachricht die Tox-ID des Angreifers, die als eindeutige Kennung für Kommunikationszwecke dient. Der Empfänger wird aufgefordert, eine verschlüsselte Datei zusammen mit einer Wormhole-ID zur Testentschlüsselung zu senden.
Vollständiger Wormhole-Lösegeldschein
Der vollständige Text des von Wormhole erstellten Lösegeldbriefs lautet wie folgt:
Please contact us via Tox.chat tool or qtox tool
Download Tox.chat hxxps://tox.chat/download.html
Download qtox hxxps://github.com/qTox/qTox/blob/master/README.md#qtox
If your chat Tool cannot connect to the Internet, please set up a proxy.
Add our TOX ID and send an encrypted file and Wormhole ID for testing decryption.Our TOX ID 503313BA88174FDF187C5009A43B45CBC144D313EFBF98BB75BFA084B5743E3ECA94499F95ED
Your Wormhole ID: -
Wie wird Ransomware üblicherweise online verbreitet?
Ransomware wird im Internet häufig auf unterschiedliche Weise verbreitet. Dabei werden häufig Social-Engineering-Taktiken und Schwachstellen in Software oder Systemen ausgenutzt. Hier sind einige gängige Verbreitungsmethoden:
Phishing-E-Mails: Eine der gängigsten Methoden sind Phishing-E-Mails, die bösartige Anhänge oder Links enthalten. Diese E-Mails werden so gestaltet, dass sie legitim erscheinen und Benutzer dazu verleiten, Anhänge zu öffnen oder auf Links zu klicken, die Ransomware auf ihre Systeme herunterladen und ausführen.
Bösartige Links: Ransomware kann über bösartige Links verbreitet werden, die per E-Mail, über soziale Medien oder Instant-Messaging-Plattformen geteilt werden. Das Anklicken dieser Links kann zum Herunterladen und Ausführen von Ransomware auf dem Gerät des Opfers führen.
Exploit-Kits: Cyberkriminelle nutzen Exploit-Kits, um Schwachstellen in Software oder Webbrowsern auszunutzen. Wenn ein Benutzer eine kompromittierte Website besucht, lädt das Exploit-Kit automatisch und ohne Wissen des Opfers Ransomware herunter und installiert sie auf dessen Computer.
Kompromittierung des Remote Desktop Protocol (RDP): Angreifer nutzen schwache oder standardmäßige Anmeldeinformationen für das Remote Desktop Protocol (RDP), um sich unbefugten Zugriff auf das System eines Opfers zu verschaffen. Sobald sie sich Zugang verschafft haben, setzen sie Ransomware ein, um Dateien zu verschlüsseln und ein Lösegeld zu fordern.
Malvertising: Bösartige Werbung (Malvertising) auf legitimen Websites kann Benutzer auf Websites umleiten, die Ransomware hosten. Diese Werbung kann auf beliebten Websites erscheinen und Schwachstellen im Browser oder in Plugins des Benutzers ausnutzen, um Ransomware zu verbreiten.
