Schlagwort-Archive: E-Mail

LockBit erweitert Fähigkeiten mithilfe von BlackMatter

Originalartikel von Ivan Nicole Chavez, Byron Gelera, Katherine Casona, Nathaniel Morales, Ieriz Nicolle Gonzalez, Nathaniel Gregory Ragasa, Threat Analysts

Im März 2022, nicht einmal ein Jahr nach dem ersten Auftauchen von LockBit 2.0 erfuhren Forscher von einer bevorstehenden neuen Variante der Ransomware. LockBit 3.0, auch bekannt als „LockBit Black“. Diese sollte erst Ende Juni eingeführt werden, zeitgleich mit dem Start der neuen Leak-Site und des Bug-Bounty-Programms der Gruppe. Ein Sicherheitsforscher hat seitdem ein Sample von LockBit 3.0 zusammen mit seiner ersten Analyse der neuen Variante veröffentlicht. Wir haben unsere eigene technische Analyse dieser Variante und ihrer Verhaltensweisen durchgeführt, von denen viele denen der BlackMatter-Ransomware ähneln.
Weiterlesen

YourCyanide : CMD-basiert mit Verschleierungsstrategie

Originalbeitrag von Ieriz Nicolle Gonzalez, Nathaniel Morales, Monte de Jesus, Threat Analysts

Unser Threat Hunting Team analysierte kürzlich CMD-basierte Ransomware-Varianten mit Fähigkeiten, wie z. B. für den Diebstahl von Benutzerdaten oder die Umgehung von Remote-Desktop-Verbindungen sowie solche für die Verbreitung über Mail und physische Laufwerke. YourCyanide ist die neueste Variante der Familie, die mit GonnaCope begann. Es ist eine ausgeklügelte Ransomware, die PasteBin-, Discord- und Microsoft-Dokument-Links als Teil ihrer Download-Routine für die Payload integriert. YourCyanide enthält mehrere Verschleierungsebenen und nutzt benutzerdefinierte Umgebungsvariablen und die Funktion Enable Delayed Expansion, um seine Aktivitäten zu verbergen. Als Teil seiner Umgehungsstrategie geht die Malware auch verschiedene Dateien durch und lädt bei jedem Schritt die nachfolgenden Dateien über Discord und Pastebin herunter, bevor sie schließlich die Haupt-Payload herunterlädt.
Weiterlesen

BlackCat: Untersuchung via Trend Micro Vision One

Originalbeitrag von Lucas Silva, Incident Response Analyst, und Leandro Froes, Threat Researcher

BlackCat (auch bekannt als AlphaVM oder AlphaV) ist eine Ransomware-Familie, die in der Programmiersprache Rust entwickelt wurde und als Ransomware-as-a-Service-Modell (RaaS) betrieben wird. Wir konnten kürzlich mit Hilfe der Trend Micro Vision One™ Plattform einen Fall im Zusammenhang mit dieser Ransomware-Gruppe untersuchen. Unsere Daten deuten darauf hin, dass BlackCat in erster Linie über Frameworks von Drittanbietern sowie Toolsets (z. B. Cobalt Strike) verbreitet wird und offene, anfällige Anwendungen (z. B. Microsoft Exchange Server) als Einstiegspunkt missbraucht. Wir zeigen, wie die Trend Micro Vision One Plattform verwendet werden kann, um die an diesem Vorfall beteiligten Bedrohungen zu verfolgen. Zudem geht es um den Ablauf des Angriffs sowie Post-Exploitation-Routinen, die bis zur Verschlüsselung des Hosts verwendet wurden.
Weiterlesen

Der Security-RückKlick 2022 KW 17

von Trend Micro

(Bildquelle: CartoonStock)

Der Mittelstand ist immer mehr von Ransomware betroffen, AvosLocker ist mit geschickt eingesetzten Techniken besonders gefährlich, Phishing-Kampagnen bedienen sich des Ukraine-Kriegs, aber auch das Thema ICS-Lücken war aktuell.
Weiterlesen

ICS-Schwachstellen: betroffene Industriezweige

Originalartikel von Trend Micro

Von Schwachstellen, die industrielle Steuerungssystemumgebungen (ICS) betreffen, erfährt die Öffentlichkeit durch Advisories des Industrial Control Systems Cyber Emergency Response Team (ICS-CERT). Wir haben ICS-Lücken mit Hilfe von MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) eingehend untersucht und deren Entwicklung in den letzten zehn Jahren nachgezeichnet. Auch ist es wichtig zu wissen, welche Industriebereiche in erster Linie von Angriffen betroffen sind.
Weiterlesen