Forscher schreiben der Lazarus-Hacking-Gruppe zwei gezielte Ransomware-Angriffe zu

Lazarus VHD Ransomware

Hollywood lässt Sie glauben, dass Teenager-Hacker mit Hoodie ganze Unternehmensriesen im Wert von Milliarden von Dollar aus dem Unbehagen im Keller ihrer Eltern stürzen können. In der realen Welt funktionieren die Dinge jedoch nicht wirklich so. Anspruchsvolle Cyberangriffe werden von erfahrenen Kriminellen durchgeführt, die über viele Ressourcen verfügen.

Ransomware-Kampagnen für bestimmte Organisationen sind äußerst komplizierte Vorgänge, an denen häufig mehrere separate Hacking-Teams beteiligt sind, die alle an unterschiedlichen Aufgaben arbeiten. Ein Team wäre beispielsweise für die Bereitstellung der Command & Control (C & C) -Infrastruktur verantwortlich, ein zweites würde das Netzwerk des Opfers gefährden, ein drittes würde sicherstellen, dass so viele Computer wie möglich infiziert sind, und ein viertes wäre dafür verantwortlich die tatsächliche Ransomware-Nutzlast. Forscher von Kaspersky haben das System am Dienstag in einem Blogbeitrag ausführlicher beschrieben, aber auch einige Ausnahmen von der Regel erwähnt.

Die VHD-Ransomware zieht die Aufmerksamkeit der Experten auf sich

Die Nutzlast der beiden von Kaspersky beschriebenen Cyberangriffe war die VHD-Ransomware - eine relativ neue Malware, die Dateien verschlüsselt und vor einigen Monaten aufgetaucht ist. Die Ransomware selbst ist nicht besonders ausgefeilt. Es durchsucht die Festplatten infizierter Hosts, verschlüsselt Dateien mit einer Kombination aus AES und RSA und löscht Systemwiederherstellungspunkte, um das Abrufen der Daten zu erschweren. Einige Merkmale der Angriffe erregten jedoch die Aufmerksamkeit der Forscher.

Der erste wurde im März gestartet, und die Experten stellten fest, dass es sich um einen sehr interessanten Mechanismus zur Verbreitung im Netzwerk des Opfers handelte. Mithilfe eines automatisierten Tools verwendeten die Hacker eine Liste opferspezifischer SMB-Anmeldeinformationen, um ihren Weg zu anderen Computern zu erzwingen. Nach erfolgreicher Verbindung kopierten sie eine VHD-Ransomware-Nutzlast und führten sie über WMI-Aufrufe aus.

Dies sind nicht die Techniken, die eine gewöhnliche Hacking-Crew anwenden würde, und die Experten wussten, dass sie sich wahrscheinlich mit etwas Ernsthafterem befassten. Ein paar Monate später ging es ihnen genauso, als sie gerufen wurden, um auf einen weiteren Angriff mit der VHD-Ransomware zu reagieren.

Diesmal war der erste Einstiegspunkt ein anfälliges VPN-Gateway, über das die Hacker Administratorrechte erlangten und eine Hintertür bereitstellten. Nachdem die Verbrecher den Active Directory-Server des Opfers kompromittiert hatten, verteilten sie Kopien der VHD-Ransomware an eine nicht angegebene Anzahl von Computern.

Als sie sich die Hintertür genauer anschauten, erkannten die Forscher, womit sie es genau zu tun hatten.

Die Lazarus-Verbindung

Der Penny fiel, als die Forscher feststellten, dass die beim zweiten Angriff verwendete Hintertür eine Instanz des sogenannten MATA-Malware-Frameworks war.

Wir haben in der Vergangenheit darüber gesprochen, wie schwer die Zuschreibung in der Cybersicherheitswelt ist, aber nach sorgfältiger Untersuchung sind sich die Experten von Kaspersky ziemlich sicher, dass das MATA-Framework erstellt wurde und von der berüchtigten Lazarus-Hacking-Gruppe verwendet wird.

Lazarus ist ein Team hoch entwickelter Hacker, die für einige massive Cyberangriffe verantwortlich sind, darunter das Sony-Leck aus dem Jahr 2014 und die Einführung des OlympicDestroyer-Wischers, der die kritische IT-Infrastruktur vor den Olympischen Winterspielen 2018 in Pyeongchang lahmlegte. Lazarus soll damit in Verbindung stehen Die nordkoreanische Regierung und ihr Name wurden mit allem in Verbindung gebracht, von finanziell motivierten Angriffen bis hin zu großen Cyberspionagekampagnen. Laut Kaspersky ist die VHD-Ransomware ihre neueste Kreation.

Die Ransomware ist vielleicht nicht besonders ausgefeilt, wurde aber bei keinem anderen Angriff gesehen, und die Forscher sind sich ziemlich sicher, dass die Hacker sie nicht von einer anderen Cybercrime-Bande mieten. Gleichzeitig sind sie sich ziemlich sicher, dass Lazarus die einzige Besatzung ist, die Zugang zu den Werkzeugen und Techniken hat, die während der Angriffe im März und Mai verwendet wurden.

Anstatt die Gewinne mit anderen Cybercrime-Outfits zu teilen, hat Lazarus beschlossen, es alleine mit der VHD-Ransomware zu machen. Nur die Zeit wird zeigen, ob dies eine gute Strategie ist, aber angesichts des illustren Portfolios der Gruppe an störenden Cyberangriffen würden wir nicht dagegen wetten. Wenn Sie eine Organisation betreiben, auf die Lazarus möglicherweise abzielt, müssen Sie sicherstellen, dass sich in Ihrem Bedrohungsmodell ein Ransomware-Angriff mit der VHD-Ransomware befindet.

Bis Duran
July 29, 2020
News
Deutsch
July 29, 2020
News

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 4 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.