Diese neue Ransomware verschlüsselt die Daten und macht zusätzliche böse Drohungen
- Office optimus amicus
- 2. März 2023
- 2 Min. Lesezeit
Die Hackergruppe hinter einer neuen Ransomware-Variante droht, über die Verschlüsselung von Daten hinauszugehen, um die Opfer zur Zahlung zu zwingen.
Cyberkriminelle verbreiten bei Angriffen gegen Opfer eine neue Form von Ransomware, bei der sie nicht nur die Daten verschlüsseln, sondern auch Drohungen aussprechen, eine “Distributed Denial of Service” (DDoS) Attacke zu starten und Mitarbeiter oder Geschäftspartner zu belästigen, wenn kein Lösegeld gezahlt wird.
Die Yanluowang genannte Ransomware wurde von Cybersicherheitsforschern des Symantec Threat Hunter-Teams von Broadcom Software entdeckt, als sie einen versuchten Cyberangriff auf eine grosse, nicht bekannt gegebene Organisation untersuchten.
Obwohl der Angriffsversuch nicht erfolgreich war, enthüllte die Untersuchung eine neue Form von Ransomware. Diese lieferte auch Erkenntnisse darüber, wie einige Cyberkriminelle versuchen, Angriffe effektiver zu machen – in diesem konkreten Fall, mit der Androhung zusätzlicher Angriffe.
Yanluowang hinterlässt eine Lösegeldforderung, in der sie dem Opfer mitteilt, dass es mit Ransomware infiziert wurde, und fordert sie auf, eine Kontaktadresse zu kontaktieren, um eine Lösegeldzahlung auszuhandeln. Ein Hinweis warnt die Opfer davor, die Polizei, das FBI oder Behörden zu kontaktieren und sich nicht an ein Cybersicherheitsunternehmen zu wenden – es wird impliziert, dass das Opfer seine Daten nicht zurückbekommt, wenn es dies tut.
Aber die Cyberkriminellen hinter Yanluowang gehen mit ihren Drohungen noch weiter und erklären, dass sie DDoS-Angriffe gegen das Opfer starten, wenn das Opfer Hilfe von aussen sucht – und ihre Websites mit so viel Verkehr zu überflutet, dass dies nicht mehr erreichbar ist. Ebenfalls ist die Rede davon, dass sie Mitarbeiter sowie Geschäftspartnern telefonisch kontaktieren und bedrängen werden. Sie stellen klar, dass wenn das Opfer nicht mit ihnen kooperiert, sie für weitere Angriffe zurückkehren und die verschlüsselten Daten löschen werden, dadurch sind diese dann für immer verloren.
“Es ist schwer zu sagen, ob dies eine echte Drohung ist. Es kann aber klar gesagt werden, dass dieses Verhalten mit anderen Ransomware-Akteuren gemein ist, wenn sich diese bedroht fühlen, sprich, wenn bspw. das Opfer die Strafverfolgungsbehörden hinzuzieht oder Informationen an Dritte weitergibt, werden die Daten gelöscht”, sagte Dick O’ Brien, Chefredakteur bei Symantec.
Wie sich die Cyberkriminellen Zugang zu den Systemen verschafften, ist noch unklar. Dennoch entdeckten die Forscher den Angriff, nachdem sie eine verdächtige Verwendung von «AdFind», einer legitimen Befehlszeile im Active Directory-Abfragetool, festgestellt hatten.
Dieses Tool wird oft von Ransomware-Angreifern missbraucht und als Aufklärungstechnik verwendet, um das Active Directory auszunutzen und zusätzliche Möglichkeiten zu finden, sich heimlich im Netzwerk zu bewegen, mit dem ultimativen Ziel, Ransomware bereitzustellen.
In diesem Fall versuchten die Angreifer nur wenige Tage nach der Identifizierung der verdächtigen Aktivität, Ransomware bereitzustellen – und letztendlich wurde der versuchte Ransomware-Angriff verhindert, weil die verräterischen Anzeichen eines Angriffs erkannt und blockiert wurden.
Nichtsdestotrotz ist das Auftauchen einer weiteren neuen Ransomware-Gruppe, insbesondere einer, die zusätzliche Drohungen ausübt, um Opfer zur Zahlung von Lösegeld zu zwingen, eine unerwünschte Entwicklung.
Wie stehst du dazu, bist du der Meinung, dass man mit diesen Cyberkriminellen verhandeln sollte? Oder hast du die Haltung, sich gar nicht erst darauf einzulassen, da es ja keine Garantie gibt, dass die Hacker dir nach der Bezahlung wirklich auch den Key zum Entschlüsseln geben.
Das ist gar kein einfaches Thema und aktuell würde auch ich nicht sagen, dass das eine oder das andere der richtige Weg ist, das hängt sehr stark davon ab, was angegriffen bzw. verschlüsselt wurde.
Comments