Schlagwort-Archive: Ransomware

Eine Ransomware mit Botnet-Fähigkeiten

Originalbeitrag von Trend Micro


Die Ransomware-Aktivitäten in der ersten Hälfte 2018 haben leider die Vorhersage von Trend Micro bestätigt: Zwar gab es keinen Anstieg in der Zahl Angriffe, doch nutzen die Kriminellen noch vielfältigere innovative Methoden. Dies zeigt auch der aktuelle Fall. Trend Micro hat Viborot entdeckt (RANSOM_VIBOROT.THIAHAH), eine Malware, die sowohl Ransomware- als auch Botnet-Fähigkeiten aufweist und vor allem Nutzer in den USA betrifft. Sobald Viborot eine Maschine infiziert, sucht die Schadsoftware nach Registry Keys (GUID und Produktschlüssel), um zu entscheiden, ob das System verschlüsselt werden sollte. Zudem wird die Maschine auch Teil eines Spam-Botnets, das Ransomware an weitere Opfer aus der Kontaktliste verteilt. Die Malware ist mit keiner bekannten Ransomware-Familie verbunden. Weitere Einzelheiten und Gegenmaßnahmen bietet der Originalbeitrag.

Der Security-RückKlick 2018 KW 38

von Trend Micro

 

 

 

 

 

 

 

Quelle: CartoonStock

Ransomware-Angriffe werden politisch genutzt, geleakte NSA-Tools führen zu Massenanstieg der Krypto-Mining-Angriffe und seltsamerweise tut eine Mirai-Variante Gutes – ein Auszug aus den aktuellen News.
Weiterlesen

Locky Poser ist nicht das, was die Malware vorgibt zu sein

Originalbeitrag von Ian Kenefick, Threats Analyst

Ransomware hatte zwar ihren Höhepunkt 2017 erreicht, dennoch gab es in der ersten Hälfte 2018 eine leichte Zunahme bei diesbezüglichen Aktivitäten – mit Anpassungen, um die Sicherheitslösungen zu vermeiden, oder Täuschung wie im Fall von PyLocky (RANSOM_PYLOCKY.A),die bewährte Ransomware nachahmt. Ende Juli und während des gesamten August gab es Wellen von Spam-Mails, die die PyLocky Ransomware ablegten.
Weiterlesen

Dateilose Crypto-Mining-Malware nutzt neue Technik

Originalbeitrag von Miguel Ang, Byron Gelera und Michael Villanueva

Ransomware verliert immer stärker an Bedeutung und wird durch Malware zum Mining von Kryptowährungen verdrängt. Forscher von Trend Micro haben jetzt eine besonders unauffällige, dateilose Mining-Malware entdeckt, die zur Infektion die gleiche Registry-Technik nutzt, wie die dateilose Malware KOVTER und ANDROM. Weitere Informationen finden sich hier in englischer Sprache auf dem Trend Micro Security News Blog.

Princess Evolution wird als Ransomware-as-a-Service angeboten

Originalbeitrag von Joseph C Chen, Fraud Researcher

Die Sicherheitsforscher von Trend Micro entdeckten eine Malvertising-Kampagne mit dem Rig Exploit Kit, das seit dem 25. Juli eine Krypto-Mining Malware und die GandCrab-Ransomware liefert. Am 1. August legte Rig eine damals unbekannte Ransomware ab. Die Prüfung im Tor-Netzwerk zeigte, es handelte sich um eine Malware namens Princess Evolution (von Trend Micro als RANSOM_PRINCESSLOCKER.B erkannt), eine neue Version des 2016 aufgekommenen Princess Locker. Die neue Version wird im Untergrund als Ransomware as a Service (RaaS) angeboten und die Hintermänner suchen Partner dafür.

Die Malvertising-Kampagne ist deshalb bemerkenswert, weil zu den Malvertisments auch Coinhive (COINMINER_MALXMR.TIDBF) gehört. Auch wenn Nutzer nicht auf das Exploit Kit umgeleitet und mit Ransomware infiziert werden, so können die Cyberkriminellen dennoch über Krypto-Mining Profit machen. Ein weiteres Merkmal der neuen Kampagne ist die Tatsache, dass die Malvertisment-Seite auf einem kostenlosen Web-Hosting-Service liegt und Domain Name System Canonical Name (DNS CNAME) nutzt, um die eigene Werbedomäne auf eine bösartige Webseite zu mappen. Die Ransomware verschlüsselt Dateien auf dem System und ändert die ursprünglichen Datei-Extensions in eine beliebig generierte Zeichenkette. Dann legt sie eine Lösegeldnachricht ab und verlangt darin 0.12 Bitcoin (773 $, Wert am 8. August 2018). Weitere Einzelheiten enthält der Originalbeitrag.