Meteor Wiper-Malware trifft iranische Eisenbahnen

In den letzten Jahren haben wir einen massiven Wandel in der Arbeitsweise von Cyberkriminellen erlebt. Anstatt zerstörerische Malware zu verwenden, haben sie sich auf die Entwicklung komplizierter Erpressungsschemata oder hochwertiger Malware konzentriert, die dem Opfer sensible Daten stiehlt. Obwohl diese Operationen sehr profitabel sind, gibt es immer noch einige Bedrohungsakteure, die sich auf die klassische destruktive Malware verlassen. Eines der beliebtesten Implantate, die in diese Kategorie fallen, sind die sogenannten „Wischer“. Sie verhalten sich ähnlich wie Ransomware, aber es gibt einen großen Unterschied – sie löschen Dateien, anstatt sie zu verschlüsseln. Natürlich bieten die Kriminellen weder eine Wiederfindungsmöglichkeit an, noch verlangen sie Geld – ihr Ziel ist es, so destruktiv wie möglich zu sein.

Meteor Wiper Malware betritt die Szene

Im Juli identifizierten Cybersicherheitsexperten ein neues Implantat, das der obigen Beschreibung entspricht – die Meteor Wiper Malware. Es wurde bei einem groß angelegten Angriff gegen die iranische Eisenbahnbehörde eingesetzt. Auch wenn das Löschen von Dateien wie eine einfache Aufgabe klingen mag, können Sie sicher sein, dass Bedrohungen wie die Meteor Wiper Malware überhaupt nicht grundlegend sind. Sie führen normalerweise eine lange Liste von Aufgaben durch, um sicherzustellen, dass ihre Ausführung fehlerfrei verläuft und das Opfer keine Zeit hat, zu reagieren.

Im Fall der Meteor Wiper Malware scheint der Angriff politisch motiviert zu sein – die politische Zugehörigkeit oder Herkunft der Angreifer ist jedoch noch unklar. Während des Angriffs wurden die Message Boards der Bahn mit Nachrichten übersät, in denen die Passagiere aufgefordert wurden, ein bestimmtes Telefon anzurufen, um weitere Informationen zu erhalten. Das Telefon gehört jedoch nicht der Bahn – ein Anruf würde die Passagiere mit dem Büro des Obersten Führers Ali Khamenei in Verbindung bringen.

Der Angriff von Meteor Wiper Malware umfasst mehrere Phasen, um eine fehlerfreie Ausführung zu gewährleisten. Der anfängliche Infektionsvektor ist nicht klar. Einmal ausgeführt, verwendet der Wischer mehrere Komponenten, um den Angriff auszuführen:

• Setup.bat – manipuliert die Windows-Gruppenrichtlinie, um das Kopieren der schädlichen ausführbaren Dateien auf andere Systeme im selben Netzwerk zu ermöglichen. Es überprüft auch, ob Antivirensoftware vorhanden ist, deaktiviert Windows Defender und trennt den Computer vorübergehend vom Internet. Es löscht auch Windows-Ereignisprotokolle und führt drei Dateien aus.
• Env.exe oder msapp.exe – beide Dateien dienen einem identischen System, aber ihre Namen unterscheiden sich. Diese hosten die Wiper-Komponente, die Dateien löscht.
• Nti.exe – ein MBR-Locker, der den MBR (Master Boot Record) überschreibt, um das Booten von PCs zu verhindern.
• Mssetup.exe – ein Bildschirmsperrer, der dem Opfer ein Bild und eine Nachricht anzeigt.

Typischerweise dienen destruktive Angriffe wie der, den die Meteor Wiper Malware ausführt, dazu, eine Nachricht zu übermitteln. Die Bedrohungsakteure tun dies jedoch nicht – sie haben keine Forderungen, sie nennen ihre Motivation nicht und lassen das Opfer im Dunkeln. Wir müssen noch sehen, ob die Meteor Wiper Malware eine andere Agentur oder ein anderes Unternehmen verfolgt.