Neuer RURansom Wiper hat Russland im Visier

Originalbeitrag von Jaromir Horejsi, Cedric Pernet, Threat Researchers

Parallel zum Konflikt zwischen Russland und der Ukraine laufen die Angriffe im Cyberspace. Sie richten sich sowohl gegen die russische als auch die ukrainische Seite. Ein neuer Wiper, der auf russische Organisationen zielt, ist im Umlauf. Am 1. März erregte ein Tweet des MalwareHunterTeams über eine mögliche Ransomware-Variante unsere Aufmerksamkeit und wir starteten eine Analyse. Dabei fanden wir mehrere zusätzliche Samples dieser Malware, die von ihrem Entwickler als „RURansom“ bezeichnet wird. Trotz des Namens ergab die Analyse, dass es sich um einen Wiper und nicht um eine Ransomware-Variante handelt, da die verschlüsselten Dateien unwiderruflich zerstört werden.

Unsere Telemetriedaten zeigen noch keine aktiven Ziele für diese Malware-Familie. Ein möglicher Grund dafür ist, dass der Wiper bisher nur einige wenige Einträge in Russland ins Visier genommen hat. Der Code von RURansom macht jedoch die Motive des Autors deutlich. Die „Ransomware-Nachricht“ lautet in der englischen Übersetzung wie folgt:

On February 24, President Vladimir Putin declared war on Ukraine.“, „To counter this, I, the creator of RU_Ransom, created this malware to harm Russia. You bought this for yourself, Mr. President.“, „There is no way to decrypt your files. No payment, only damage. And yes, this is \“peacekeeping\“ like Vladi Papa does, killing innocent civilians“, „And yes, it was translated from Bangla into Russian using Google Translate… (This is a direct translation.)

Wir entdeckten verschiedene Versionen der Malware zwischen dem 26. Februar und dem 2. März 2022. Weitere Analysen förderten weitere Details über seine Fähigkeiten zutage.

RURansom: ein neuer Wiper

Die Malware ist in der .NET-Programmiersprache verfasst und breitet sich als Wurm aus, indem sie sich selbst auf alle Wechsellaufwerke und gemappte Netwerkfreigaben kopiert. Der russische Dateiname bedeutet „Russia-Ukraine_War-Update.doc.exe.“

Danach startet der Schädling die Verschlüsselung aller Datei-Extensions und „bak“-Dateien werden gelöscht. Die Dateien werden mit einem zufallsgenerierten Schlüssel verschlüsselt und die Erpresser- bzw. Wiper-Nachricht wird in jedem Ordner abgelegt. Weitere technische Einzelheiten dazu beinhaltet der Originalbeitrag.

Noch in Entwicklung begriffen

Wir entdeckten mehrere Versionen von RURansom. Einige prüfen, ob die IP-Adresse, von der aus die Software gestartet wird, in Russland liegt. Ist dies nicht der Fall, brechen die Versionen die Ausführung ab, was darauf hindeutet, dass sie bewusst nur auf russische Computer abzielen. Die meisten Samples waren nicht verborgen, doch haben wir eine Version gefunden, die ConfuserEx zur Verschleierung verwendet. Andere Versionen versuchen auch, den Prozess mit höheren Rechten zu starten. Dies könnte darauf hindeuten, dass sich die Malware zum Zeitpunkt der Erstellung des Berichts noch in der Entwicklung befand.

Weitere Aktivitäten desselben Entwicklers

Der Entwickler von RURansom scheint auch an einem weiteren Wiper namens „dnWipe“ zu arbeiten, dessen Payload jeden Dienstag ausgeführt wird. So wie RURansom keine echte Ransomware-Variante ist, kann auch dnWipe nicht als Beispiel für eine Wiper-Malware eingestuft werden, da seine Verschlüsselung leicht entschlüsselt werden kann. Andere Binärdateien, die wir mit hoher Wahrscheinlichkeit demselben Entwickler zuordnen können, deuten auf andere Interessen hin. So hat er auch einen Downloader für ein XMRig-Binary kompiliert, was auf eine Neigung zum Kryptowährungs-Mining schließen lässt.

Fazit

Wir sehen RURansom nur als einen von vielen Ansätzen in einer wachsenden Liste von Angriffen, die darauf abzielen, eine Position im Konflikt zu stützen, die von einer Person oder einer Gruppe vertreten wird. Es gibt zwar anscheinend noch keine Opfer dieser Malware, aber die Entwicklung des Codes lässt vermuten, dass die Entwickler ihre Malware ständig aktualisieren werden, um Russland in irgendeiner Form zu schaden.

Generell hat die angespannte geopolitische Lage Cyberangriffen einen zusätzlichen Antrieb gegeben. Letztendlich ist es wichtig, die Verteidigung aufrechtzuerhalten, wachsam gegenüber Fehlinformationen zu sein und die Situation zu beobachten, um in dieser unsicheren Lage zurechtzukommen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.