Moneybird-Ransomware wird bei Angriffen auf israelische Unternehmen eingesetzt

ransomware

Agrius, eine iranische Hackergruppe, auch bekannt als Pink Sandstorm und früher Americium, hat eine neue Art von Ransomware namens Moneybird entwickelt. CheckPoint-Forscher haben diese gefährliche Malware entdeckt, was eine bedeutende Änderung in der Taktik von Agrius bedeutet, da sie nun auf israelische Organisationen abzielen.

Agrius hat in der Vergangenheit destruktive Datenlöschangriffe auf israelische Unternehmen durchgeführt und diese oft als Ransomware-Infektionen getarnt. Die Entwicklung von Moneybird, programmiert in C++, zeigt die wachsenden Fähigkeiten der Gruppe und ihr kontinuierliches Engagement für die Entwicklung neuer Cyber-Tools.

Mindestens seit Dezember 2020 wird Agrius auf störende Eingriffe in die Diamantenindustrie in Südafrika, Israel und Hongkong zurückgeführt. In der Vergangenheit nutzte die Gruppe eine .NET-basierte Ransomware namens Apostle, die sich später zu Fantasy entwickelte. Allerdings demonstriert Moneybird, codiert in C++, die sich entwickelnden Cyber-Fähigkeiten der Gruppe.

Moneybird – Ausbreitung und Aktivität

Die Moneybird-Ransomware-Operation zeigt die zunehmende technische Expertise und das Engagement von Agrius bei der Entwicklung neuer Cyber-Tools. Es nutzt eine ausgefeilte Angriffsmethodik, die mit der Ausnutzung von Schwachstellen in öffentlich zugänglichen Webservern beginnt. Diese anfängliche Ausnutzung ermöglicht die Bereitstellung einer ASPXSpy-Web-Shell, die als erster Einstiegspunkt in das Netzwerk der Zielorganisation dient.

Einmal im Inneren fungiert die Web-Shell als Kommunikationskanal, um eine Reihe bekannter Tools bereitzustellen, die für eine detaillierte Aufklärung, seitliche Bewegung, das Sammeln von Anmeldeinformationen und die Exfiltration sensibler Daten innerhalb der Umgebung des Opfers konzipiert sind.

Anschließend wird die Moneybird-Ransomware auf dem kompromittierten Host eingesetzt und zielt speziell auf sensible Dateien im Ordner „F:\User Shares“ ab. Bei der Ausführung hinterlässt die Ransomware einen Lösegeldschein und drängt die Opfer, innerhalb von 24 Stunden Kontakt aufzunehmen, andernfalls riskieren sie, dass ihre gestohlenen Daten öffentlich preisgegeben werden.

Moneybird nutzt AES-256 mit GCM zur Verschlüsselung und nutzt dabei eine hochentwickelte Technik, die für jede Datei eindeutige Verschlüsselungsschlüssel generiert. Verschlüsselte Metadaten werden am Ende jeder Datei angehängt, was die Wiederherstellung und Entschlüsselung der Daten in den meisten Fällen sehr schwierig, wenn nicht sogar unmöglich macht.

Was sind Advanced Persistent Threat Actors oder APTs?

Advanced Persistent Threat Actors (APTs) sind hochentwickelte und hochqualifizierte Bedrohungsakteure oder Hackergruppen, die langfristige, gezielte Cyberangriffe gegen bestimmte Organisationen durchführen, oft mit Unterstützung von Nationalstaaten oder gut ausgestatteten Einrichtungen. APTs zeichnen sich durch fortschrittliche Techniken, Hartnäckigkeit und die Absicht aus, Zielsysteme über einen längeren Zeitraum zu infiltrieren und zu kompromittieren, wobei sie oft unentdeckt bleiben.

Hier sind einige wichtige Merkmale und Merkmale, die mit APTs verbunden sind:

  • Fortgeschrittene Techniken: APT-Akteure nutzen fortschrittliche Hacking-Techniken, darunter Zero-Day-Exploits, benutzerdefinierte Malware, Rootkits und ausgefeilte Social-Engineering-Taktiken. Sie entwickeln ihre Methoden ständig weiter, um Sicherheitsmaßnahmen zu umgehen und ihren Zugriff aufrechtzuerhalten.
  • Persistenz: APTs sind bestrebt, ihre Ziele zu erreichen und eine langfristige Präsenz in kompromittierten Systemen aufrechtzuerhalten. Sie können mehrere Eintrittspunkte einrichten, Hintertüren erstellen und getarnte Kommunikationskanäle nutzen, um die Persistenz aufrechtzuerhalten.
  • Gezielte Angriffe: APTs konzentrieren sich auf bestimmte Ziele, beispielsweise Regierungsbehörden, Rüstungsunternehmen, kritische Infrastrukturen, Forschungseinrichtungen oder multinationale Unternehmen. Sie führen gründliche Aufklärung durch, um Informationen zu sammeln und ihre Angriffe so anzupassen, dass sie bestimmte Schwachstellen in der Infrastruktur des Ziels ausnutzen.
  • Nationalstaatliche Unterstützung: APTs werden oft mit Nationalstaaten oder staatlich geförderten Einheiten in Verbindung gebracht, die politische, wirtschaftliche oder militärische Vorteile anstreben. Sie verfügen möglicherweise über erhebliche Ressourcen, nachrichtendienstliche Fähigkeiten und Rechtsschutz, die es ihnen ermöglichen, umfangreiche und längere Kampagnen durchzuführen.
  • Datenexfiltration: Ein Hauptziel von APTs ist die Exfiltration wertvoller Daten, darunter geistiges Eigentum, Geschäftsgeheimnisse, Verschlusssachen oder personenbezogene Daten (PII). Die gestohlenen Daten können für Spionage, wirtschaftliche Gewinne, Wettbewerbsvorteile oder zukünftige Cyber-Operationen ausgenutzt werden.
  • Verdeckte Operationen: APTs legen Wert darauf, unauffällig zu bleiben und eine Entdeckung zu vermeiden. Sie nutzen ausgefeilte Umgehungstechniken wie Anti-Forensik-Maßnahmen, Verschlüsselung und Verschleierung, um ihre Aktivitäten zu verbergen und Sicherheitssysteme zu umgehen.

Beispiele für bekannte APT-Gruppen sind APT29 (auch bekannt als Cozy Bear oder The Dukes), APT28 (auch bekannt als Fancy Bear oder Sofacy), Equation Group, Comment Crew und Lazarus Group.

Bis Zaib
May 26, 2023
Ransomware
Deutsch
May 26, 2023
Ransomware

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 5 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.