Categories: SicherheitVirus

Hacker nutzen COVID-19-Pandemie zur Verbreitung datenlöschender Malware

Sicherheitsforscher haben mehrere Malware-Varianten entdeckt, die die COVID-19-Pandemie zu ihrer Verbreitung nutzen, um Daten auf PCs zu zerstören. Derzeit sind mindestens fünf solcher Kampagnen aktiv, die entweder massenhaft Dateien löschen oder den Master Boot Record (MBR) überschreiben.

Den Master Boot Record nimmt eine Schadsoftware ins Visier, die das MalwareHunterTeam in einem Bericht von Sonicwall beschreibt. Sie infiziert ein System in zwei Schritten: Zuerst erscheint eine Meldung, die auf ein Problem mit einem Update-Server verweist. Während ein Nutzer vergeblich versucht, diese Meldung wegzuklicken – die Malware deaktiviert im Hintergrund den Task Manager – wird unbemerkt vom Nutzer des MBR überschrieben.

Danach startet die Malware das System neu, wobei der neue MBR eingreift und den Nutzer in eine Pre-Boot-Umgebung leitet. „Ihr Computer wurde vernichtet“, heißt es dort lapidar. Abhilfe schaffen nun nur noch spezielle Tools, die in er Lage sind, den MBR wiederherzustellen oder neu aufzubauen.

Eine weitere Schadsoftware, die den MBR zerstört, nutzt diese Technik, um von ihrer eigentlichen Aufgabe abzulenken. Nach außen „tarnt“ sich die Malware als CoronaVirus Ransomware. Allerdings ist auch die Erpressersoftware nur Fassade. Tatsächlich haben es deren Hintermänner auf Anmeldedaten und Passwörter abgesehen. Wurde diese Aufgabe erledigt, startet das System neu, wobei wiederum ein neuer MBR eine Pre-Boot-Umgebung startet, die die gefälschte Lösegeldforderung anzeigt. Sie verhindert, dass Nutzer den Diebstahl ihrer Login-Daten erkennen und Gegenmaßnahmen ergreifen.

Entdeckt wurde diese Malware vom Sicherheitsforscher Vitali Kremez von Sentinel One. Zwei Wochen später meldete der deutsche Anbieter G Data eine Variante, die sich als Screenlocker tarnt und ebenfalls den MBR überschreibt.

Das MalwareHunterTeam fand zudem zwei schädliche Anwendungen, die Dateien auf PCs löschen – allerdings nicht sehr effizient. Die erste Variante ist demnach schon seit Februar im Umlauf, die zweite erst seit wenigen Tagen. Beide setzen offenbar auf zeitraubende und fehleranfällige Methoden zur Datenlöschung. MalwareHunterTeam betont jedoch, dass beide Schadanwendungen trotzdem in der Lage sind, Dateien unwiederbringlich zu zerstören, weswegen sie als gefährlich einzustufen seien.

Warum die Hintermänner auf Malware setzen, die keine finanziellen Ziele verfolgt, ist nicht bekannt. Allerdings sind solche rein destruktiven Schädlinge keine Seltenheit. Schon beim WannaCry-Ausbruch vor drei Jahren gab es zahllose Varianten, die Dateien verschlüsselten, ohne ein Lösegeld zu fordern.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

22 Minuten ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

5 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

6 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

6 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

8 Stunden ago