Sicherheitsforschern ist eine neue Form von Ransomware durch weltweite Verbreitung seit dem 8. August 2018 aufgefallen. Dabei weisen Brasilien und Vietnam die höchsten Infektionszahlen auf, aber auch Opfer in Regionen einschließlich Afrika, Europa, Nahost und weiteren südamerikanischen sowie asiatischen Ländern sind betroffen.
Auf dem Opfer des Computers kopiert die Malware ihre ausführbare Datei auf %LocalAppData% und startet sie, um sich dann selbst vom ursprünglichen Ort zu löschen. Anschließend erstellt sie mehrere Kopien des eigenen Prozesses und gibt Kodierungsschlüssel sowie eine ID für das jeweilige Opfer als Befehlszeilen-Argumente weiter. Beide bezieht sie gleich nach dem Start von einem Befehls- und Kontrollserver, kann aber bei einem System ohne Internetverbindung auf feste Vorgaben zurückgreifen.
Alle verschlüsselten Dokumente, Fotos, Datenbanken und weiteren wichtigen Dateien auf dem Rechner des Opfers erhalten die Erweiterung .KEYPASS. Danach wurde die Malware auch benannt – mit einer nur zufälligen Namensähnlichkeit zum Open-Source-Passwortmanager KeePass. Die Lösegeldforderung verlangt sodann den Kauf einer „Entschlüsselungs-Software“ sowie einmaligem privatem Schlüssel für 300 Dollar, wenn Betroffene wieder an die eigenen Daten kommen wollen – mit einem angedrohten höheren Preis nach Ablauf von drei Tagen. Eine Zahlungsmethode ist nicht genannt, vielmehr sollen die Opfer über eine in der Schweiz registrierte E-Mail-Adresse – mit einer indischen Ersatzadresse – mit den Kriminellen Kontakt aufnehmen und von ihnen weitere Instruktionen erhalten.
Als interessantestes Feature des KeyPass-Trojaners sieht Kaspersky die Fähigkeit, eine „manuelle Kontrolle“ zu übernehmen. Er enthält ein verstecktes Formular, dass erst durch einen bestimmten Tastendruck sichtbar zu machen ist. „Diese Fähigkeit könnte darauf hindeuten, dass die kriminellen Hintermänner den Trojaner für manuelle Angriffe einsetzen wollen“, schreiben die Sicherheitsforscher.
Mit veränderbaren Parametern können Angreifer somit für einen maßgeschneiderten Angriff sorgen. Anpassen lassen sich dabei der Kodierungsschlüssel, Titel und Text der Lösegeldforderung, Opfer-ID, Erweiterung der verschlüsselten Dateien sowie die Liste der von der Verschlüsselung auszunehmenden Pfade.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
[mit Material von Danny Palmer, ZDNet.com]
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
