AttackFiles Ransomware gehört zur MedusaLocker-Familie

Bei der Untersuchung neuer Dateien stieß unser Forschungsteam auf das Schadprogramm AttackFiles, das zur Ransomware-Familie MedusaLocker gehört. Diese Art von Software ist darauf ausgelegt, Dateien zu verschlüsseln und für deren Entschlüsselung Lösegeld zu fordern.

Als wir eine Probe von AttackFiles in unserer Testumgebung ausführten, verschlüsselte es Dateien und hängte die Erweiterung „.attackfiles“ an ihre Namen an. So würde beispielsweise eine Datei mit dem Namen „1.jpg“ zu „1.jpg.attackfiles“ und „2.png“ zu „2.png.attackfiles“ und so weiter.

Nach Abschluss des Verschlüsselungsvorgangs generierte diese Ransomware eine Lösegeldforderung mit dem Titel „How_to_back_files.html“. Die Forderung bezeichnet das infizierte System als „Firmennetzwerk“, was darauf hinweist, dass es sich bei den Zielen nicht um einzelne Heimanwender handelt. In der Lösegeldforderung behauptet AttackFiles, dass das Firmennetzwerk des Opfers gehackt wurde, Dateien mit den kryptografischen Algorithmen RSA und AES verschlüsselt und vertrauliche und persönliche Daten gestohlen wurden.

Um die verschlüsselten Dateien zurückzuerhalten, wird das Opfer aufgefordert, ein Lösegeld zu zahlen. Wenn das Opfer sich weigert, dieser Aufforderung nachzukommen, werden die gestohlenen Inhalte entweder weitergegeben oder verkauft. Bevor die Lösegeldforderung erfüllt wird, kann die Entschlüsselungsfunktion an 2-3 Dateien kostenlos getestet werden. Der Hinweis warnt auch vor Aktionen, die zu einem dauerhaften Datenverlust führen könnten.

AttackFiles Lösegeldforderung im Wortlaut

Der vollständige Text des Lösegeldbriefs von AttackFiles lautet wie folgt:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to solve your problem.

We gathered highly confidential/personal data. These data are currently stored on a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
crypt2024_tm123@outlook.com
crypt2024_tm123@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Wie wird Ransomware normalerweise online verbreitet?

Ransomware wird typischerweise online auf verschiedene Weise verbreitet, darunter:

Phishing-E-Mails: Angreifer versenden E-Mails mit bösartigen Anhängen oder Links, getarnt als legitime Nachrichten von vertrauenswürdigen Quellen wie Banken, Transportunternehmen oder Regierungsbehörden. Sobald der Anhang geöffnet oder der Link angeklickt wird, wird die Ransomware auf das System des Opfers heruntergeladen.

Malvertising: Bösartige Werbung (Malvertisements) auf legitimen Websites kann Skripte enthalten, die Benutzer auf Websites umleiten, die Ransomware hosten, oder Ransomware ohne das Wissen des Benutzers direkt auf sein Gerät herunterladen.

Exploit-Kits: Dabei handelt es sich um vorgefertigte Softwarepakete, die verschiedene Exploits enthalten, die auf Schwachstellen in veralteter Software oder Betriebssystemen abzielen. Wenn ein Benutzer eine kompromittierte Website besucht, durchsucht das Exploit-Kit sein System nach Schwachstellen und liefert Ransomware-Payloads.

Remote Desktop Protocol (RDP)-Angriffe: Angreifer nutzen schwache oder standardmäßige Passwörter für RDP-Dienste aus, um sich unbefugten Zugriff auf Systeme zu verschaffen. Sobald sie sich im Netzwerk befinden, installieren sie Ransomware direkt im Netzwerk.

Drive-by-Downloads: Dies geschieht, wenn ein Benutzer eine kompromittierte oder bösartige Website besucht und ohne sein Einverständnis oder Wissen automatisch Malware heruntergeladen und auf seinem System installiert wird.

Peer-to-Peer (P2P)-Dateifreigabe: Ransomware kann über Raubkopien von Software, Spielen oder Mediendateien verbreitet werden, die in P2P-Netzwerken freigegeben werden. Angreifer können Ransomware als legitime Dateien tarnen, um Benutzer zum Herunterladen und Ausführen zu verleiten.

Bösartige Links in Chat-Apps und sozialen Medien: Angreifer können Ransomware über Links verbreiten, die in Chat-Anwendungen oder auf sozialen Medienplattformen geteilt werden, und Benutzer mit verlockenden Nachrichten oder Angeboten dazu verleiten, darauf zu klicken.

Watering Hole-Angriffe: Bei dieser Methode manipulieren Angreifer Websites, die von ihrer Zielgruppe häufig besucht werden. Wenn Benutzer diese kompromittierten Websites besuchen, sind sie unwissentlich Ransomware ausgesetzt.

Dies sind nur einige Beispiele dafür, wie Ransomware online verbreitet werden kann. Angreifer entwickeln ihre Taktiken ständig weiter, um Sicherheitsmaßnahmen zu umgehen und Schwachstellen auszunutzen. Daher ist es für Benutzer und Organisationen von entscheidender Bedeutung, wachsam zu bleiben und robuste Cybersicherheitspraktiken anzuwenden.