Ransomware-Akteure verwenden WinRar zur Verschlüsselung

In diesem Jahr fast Ende Oktober tauchte eine neue Ransomware-Gruppe mit einer recht ungewöhnlichen Verschlüsselungstechnik auf. Anstatt Dateien selbst zu verschlüsseln, kopiert „Memento Team“ sie in passwortgeschützte Archive, indem es eine umbenannte Freeware-Version des legitimen Datei-Dienstprogramms WinRAR verwendet. Dann sperrt die Bande das Archiv mit Passwörtern und löscht Originaldateien. In der Ransomware-Notiz weisen Kriminelle die Opfer an, sie über ein Telegram-Konto zu kontaktieren. Das Team von Cybersicherheitsanalysten hat einige der Erfahrungen seiner Kunden mit der neuen Ransomware beschrieben.

WinRaR wurde zum neuen Ransomware-Tool

„Die Änderungen an der Ransomware haben ihr Verhalten geändert, um die Erkennung von Verschlüsselungsaktivitäten zu vermeiden. Anstatt Dateien zu verschlüsseln, der Code „crypt“ legt die Dateien nun unverschlüsselt in WinRaR-Archivdateien ab, Verwenden der Kopie von WinRAR, Speichern jeder Datei in einem eigenen Archiv mit einer .vaultz-Dateierweiterung. Für jede Datei wurden beim Archivieren Passwörter generiert. Dann wurden die Passwörter selbst verschlüsselt,“ – SophosNews-Bericht.

Der Wortlaut und die Formatierung der Ransomware-Notiz der Gruppe ähnelt der der REvil-Ransomware-Gang. In Ergänzung, es droht, die Daten zu verlieren, wenn Zahlungen nicht geleistet werden. Aber im Gegensatz zu REvil wurden Zahlungen in Bitcoin verlangt. Die Bande verlangte 15.95 BTC (grob $1 Millionen US). Das ist die Summe für alle Dateien und sie boten auch unterschiedliche Preissätze für verschiedene Arten von Dateien an, separat. Die genaue Verwendung von WinRar-Archiven mit Passwörtern ähnelt sehr alten Witzen aus ’00S. Dann waren es nur Streiche, aber das sind jetzt echte Cyberangriffe.

Ransomware-Akteure verwenden WinRar zur Verschlüsselung
Ein Beispiel für Ransomware-Notizen

Nach fast sechs Monaten heimlicher Untersuchung der Opfer’ Netzwerkbande begann ihren Angriff. Pech für sie, das Opfer hat den Verhandlungsprozess nicht gestartet. Zielorganisationen haben zuvor die Backups der verschlüsselten Dateien erstellt und konnten trotz des Angriffs wieder normal arbeiten. Im Algemeinen, 2021 Jahr gab es einen deutlichen Anstieg von Ransomware-Angriffen und geforderten Zahlungen. Nachfolgend stellen wir Ihnen einen kurzen Auszug der gängigsten Trends für dieses Jahr in diesem speziellen kriminellen Ökosystem zur Verfügung.

Ransomware 2021 Jahr Fakten

Dies sind nur kurze Sätze, aber sie sollten Ihnen die wichtigsten Punkte auf dem Gebiet vermitteln. Ransomware breitete sich dank der generell höheren Offenheit des Mobiltelefons gegenüber Malware auf Mobiltelefone aus. Die meisten von ihnen bedecken den Browser oder eine App mit der Lösegeldforderung, wodurch das Gerät unbrauchbar wird. Wegen der Pandemie, die meisten Ransomware-Gangs projizierten ihre Interessen auf anfällige Branchen wie städtische Einrichtungen, Schulen und Remote-Arbeitskräfte. RaaS oder Ransomware-as-a-Service hat sich zu einem recht effektiven Arbeitsgeschäft entwickelt. Es ermöglicht Ransomware-Banden, bereits entwickelte Ransomware-Tools zu verwenden. Der dezentralisierte Charakter der gesamten Wirtschaft erschwert es den Strafverfolgungsbehörden, sie erfolgreich zu bekämpfen.

Ransomware entwickelt sich in ihren Taktiken und Arbeitsweisen weiter, wobei mehrere neue, ziemlich effektive Ransomware-Stämme Schlagzeilen gemacht haben. Von einigen haben Sie sicher schon gehört. Fortsetzung, revil, Dunkle Seite und Netwalker ändern ihr Verhalten, sodass die neuen Erkennungsmethoden angewendet werden müssen, um den Kampf mit ihnen auf dem gleichen Niveau fortzusetzen. Und das macht einige Prozent des Erfolgs für die aktualisierten Ransomware-Stämme aus, da es in diesem Moment keine Hilfstools geben konnte.

Über Andrew Nail

Cybersicherheitsjournalist aus Montreal, Kanada. Studium der Kommunikationswissenschaften an der Universite de Montreal. Ich war mir nicht sicher, ob ein Journalistenjob das ist, was ich in meinem Leben machen möchte, aber in Verbindung mit technischen Wissenschaften, genau das mache ich gerne. Meine Aufgabe ist es, die aktuellsten Trends in der Welt der Cybersicherheit zu erfassen und Menschen dabei zu helfen, mit Malware umzugehen, die sie auf ihren PCs haben.

überprüfen Sie auch

Nordkoreanische Hacker haben Sicherheitsunternehmen ins Visier genommen

Nordkorea-Hacker haben Sicherheitsunternehmen ins Visier genommen

In seiner ersten Ausgabe des neuen Threat Horizons-Berichts Google, unter anderen erkannten Cyber-Bedrohungen, …

Neuer PowerShortShell Stealer nutzt aktuelle Microsoft MSHTML-Sicherheitslücke

Neuer PowerShortShell-Stealer

Im November 24, 2021 SafeBreach Labs veröffentlichte Forschung zu einem neuen iranischen Bedrohungsakteur, der …

Hinterlasse eine Antwort