Originalbeitrag von Ieriz Nicolle Gonzalez, Nathaniel Morales, Monte de Jesus, Threat Analysts
Unser Threat Hunting Team analysierte kürzlich CMD-basierte Ransomware-Varianten mit Fähigkeiten, wie z. B. für den Diebstahl von Benutzerdaten oder die Umgehung von Remote-Desktop-Verbindungen sowie solche für die Verbreitung über Mail und physische Laufwerke. YourCyanide ist die neueste Variante der Familie, die mit GonnaCope begann. Es ist eine ausgeklügelte Ransomware, die PasteBin-, Discord- und Microsoft-Dokument-Links als Teil ihrer Download-Routine für die Payload integriert. YourCyanide enthält mehrere Verschleierungsebenen und nutzt benutzerdefinierte Umgebungsvariablen und die Funktion Enable Delayed Expansion, um seine Aktivitäten zu verbergen. Als Teil seiner Umgehungsstrategie geht die Malware auch verschiedene Dateien durch und lädt bei jedem Schritt die nachfolgenden Dateien über Discord und Pastebin herunter, bevor sie schließlich die Haupt-Payload herunterlädt.
Weiterlesen