Archiv der Kategorie: Malware

YourCyanide : CMD-basiert mit Verschleierungsstrategie

Originalbeitrag von Ieriz Nicolle Gonzalez, Nathaniel Morales, Monte de Jesus, Threat Analysts

Unser Threat Hunting Team analysierte kürzlich CMD-basierte Ransomware-Varianten mit Fähigkeiten, wie z. B. für den Diebstahl von Benutzerdaten oder die Umgehung von Remote-Desktop-Verbindungen sowie solche für die Verbreitung über Mail und physische Laufwerke. YourCyanide ist die neueste Variante der Familie, die mit GonnaCope begann. Es ist eine ausgeklügelte Ransomware, die PasteBin-, Discord- und Microsoft-Dokument-Links als Teil ihrer Download-Routine für die Payload integriert. YourCyanide enthält mehrere Verschleierungsebenen und nutzt benutzerdefinierte Umgebungsvariablen und die Funktion Enable Delayed Expansion, um seine Aktivitäten zu verbergen. Als Teil seiner Umgehungsstrategie geht die Malware auch verschiedene Dateien durch und lädt bei jedem Schritt die nachfolgenden Dateien über Discord und Pastebin herunter, bevor sie schließlich die Haupt-Payload herunterlädt.
Weiterlesen

Bestandsaufnahme der digitalen Angriffsfläche

Originalartikel von Bharat Mistry, Technical Director

Vor etwa einem Jahr rückte ein Cyberangriff auf die bis dato wenig bekannte Colonial Pipeline Ransomware ins Interesse der Medien und erregte die Aufmerksamkeit des Weißen Hauses. In den darauf folgenden Monaten gab es zahlreiche Bemühungen der Regierung, die Sicherheitslage globaler Unternehmen zu verbessern, wobei das Cyber-Risikomanagement ganz oben auf der Liste der empfohlenen Best Practices stand. So haben die für den Angriff verantwortlichen Cyberkriminellen möglicherweise unbeabsichtigt viel Gutes für die Sicherheits-Community getan. Die Bedeutung des Risikomanagements anzuerkennen und es in die Praxis umzusetzen, sind jedoch zwei verschiedene Dinge.
Weiterlesen

Der Security-RückKlick 2022 KW 24

(Bildquelle: CartoonStock)

von Trend Micro

Wer sein Risiko immer kennt, hat weniger Angst vor Angriffen, so die These von Richard Werner, Warnungen vor Fehler im Firewall-Code von Linux und auch in WSO2-Produkten; Ransomware-Gangs „schonen“ neuerdings den Ruf ihrer Opfer.
Weiterlesen

Der Security-RückKlick 2022 KW 23

(Bildquelle: CartoonStock)

von Trend Micro

Sparkassenkunden über Phishing bedroht, die BaFin warnt vor Angriffen auf den Finanzsektor, Ransomware zielt auf ESXi, Einzelheiten zu RansomEXX aber auch eine gute Nachricht – Europol konnte FluBot einbremsen.
Weiterlesen

Neue Linux-basierte Ransomware Cheerscrypt zielt auf ESXi

Originalartikel von Arianne Dela Cruz, Byron Gelera, McJustine De Guzman, Warren Sto.Tomas

In den letzten Wochen beobachteten wir mehrere Linux-basierte Ransomware-Angriffe auf VMware ESXi-Server, einem Bare-Metal-Hypervisor zur Erstellung und Ausführung mehrerer virtueller Maschinen (VMs), die sich denselben Festplattenspeicher teilen. Dabei stießen wir auf Cheerscrypt, eine neue Ransomware-Familie, die es auf den EXSi-Server eines Kunden abgesehen hat, der zur Verwaltung von VMware-Dateien verwendet wird. Die Malware basiert auf dem geleakten Babuk-Source Code und wurde lediglich modifiziert und an die Ziele der Hintermänner angepasst. In der Vergangenheit wurden ESXi-Server auch von anderen bekannten Ransomware-Familien wie LockBit, Hive und RansomEXX angegriffen, weil sie eine effiziente Möglichkeit darstellen, viele Computer mit Ransomware zu infizieren.
Weiterlesen