Legitime Anwendung AnyDesk im Bundle mit neuer Ransomware-Variante

Originalbeitrag von Trend Micro

Kürzlich entdeckten die Sicherheitsforscher von Trend Micro eine neue Ransomware (RANSOM_BLACKHEART.THDBCAH), die das legitime Tool AnyDesk zusammen mit einer bösartigen Payload ablegt und ausführt. Es passiert nicht zum ersten Mal, dass eine Malware ein solches Tool missbraucht. TeamViewer mit mehr als 200 Millionen Nutzern war bereits einer früheren Ransomware zum Opfer gefallen. Die Malware nutzte die Verbindungen des Opfers als Verbreitungsweg. Diesmal schnürt RANSOM_BLACKHEART mit dem legitimen Programm ein Bundle, statt AnyDesk für die Verbreitung zu nutzen.

Auch wenn die Einzelheiten zu der Art, wie RANSOM_BLACKHEART ins System kommt, nicht bekannt sind, weiß man, dass die Nutzer, ohne es zu wissen, die Ransomware herunterladen können, wenn sie bösartige Sites aufsuchen.

Nach dem Download legt RANSOM_BLACKHEART zwei Dateien ab und führt diese auch aus:

  • %User Temp%\ANYDESK.exe
  • %User Temp%\BLACKROUTER.exe

Die erste enthält AnyDesk, eine Anwendung, die in der Lage ist, Remote in zwei Richtungen zwischen Desktop-Betriebssystemen (Windows, macOS, Linux und FreeBSD) zu vermitteln sowie eingleisig den Zugang zu Android und iOS zu ermöglichen. Darüber hinaus kann die Anwendung Dateitransfers durchführen, Chats von Client zu Client unterstützen und Sitzungen protokollieren. Die von den Angreifern missbrauchte Version ist bereits älter.

Bild 1. Die AnyDesk-Benutzerschnittstelle des von Trend Micro analysierten Samples

Auch eine Schattenkopie wird über folgenden Prozess gelöscht:

  • “cmd.exe” /c vssadmin.exe delete shadows /all /quiet

Die zweite Datei wiederum ist die tatsächliche Ransomware. Die Analyse zeigte, dass es sich um eine ziemlich gewöhnliche Erpressungssoftware handelt, mit einer Routine, die vielfältige Dateien verschlüsselt und unterschiedliche Extensions (siehe Originalbeitrag) einsetzt.

Die Ransomware wählt und verschlüsselt alle Dateien mit diesen Extensions in den Ordnern:

  • %Desktop%
  • %Application Data%
  • %AppDataLocal%
  • %Program Data%
  • %User Profile%
  • %System Root%\Users\All Users
  • %System Root%\Users\Default
  • %System Root%\Users\Public
  • Alle Laufwerke außer %System Root%

Sobald eine Datei verschlüsselt ist, erhält sie die Extension .BlackRouter. Danach legt die Schadsoftware die Lösegeldforderung über 50 $ oder 0,006164 BTC an den folgenden Orten ab:

  • {All Drives}:\ReadME-BlackRouter.txt
  • %Desktop%\ReadME-BlackRouter.txt


Bild 2. Screenshot der Lösegeldforderung

Die Forscher gehen davon aus, dass das Bündeln von AnyDesk und der Ransomware eine Vermeidungstaktik sein könnte. Sobald RANSOM_BLACKHEART heruntergeladen wurde, läuft AnyDesk auf dem betroffenen System im Hintergrund und verbirgt das tatsächliche Ziel der Ransomware, während diese ihre Verschlüsselungsroutine durchführt. Unter Umständen experimentieren die Cyberkriminellen auch mit AnyDesk als Alternative, weil die Teamviewer-Entwickler mittlerweile in die Tools einen gewissen Anti-Malware-Schutz eingebaut haben.

Die Forscher fanden ein weiteres ähnliches bösartiges Sample, das mit einem Keylogger (TSPY_KEYLOGGER.THDBEAH) statt Ransomware im Bundle ist.

AnyDesk ist über das Vorhandensein der Ransomware informiert und wird mögliche Schritte andenken.

Trend Micro-Lösungen

Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern. Mit Fähigkeiten wie Web/URL-Filtering, Verhaltensanalysen und anpassbarem Sandboxing bietet XGen Schutz vor den heutigen gezielten Bedrohungen, die herkömmliche Mechanismen umgehen, bekannte, unbekannte und nicht veröffentlichte Sicherheitslücken ausnutzen, um persönlich identifizierbare Daten zu stehlen oder zu verschlüsseln. Die Trend Micro-Lösungen werden durch XGen™ Security unterstützt: Hybrid Cloud Security, User Protection und Network Defense.

Hash im Zusammenhang mit RANSOM_BLACKHEART.THDBCAH:

  • a85173ef5572f316df839e63b4e1526e97e5f123ae73f898b872baa6a5a9711f

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.