Hacker setzen eine neue Art von Ransomware derzeit bei zielgerichteten Angriffen gegen Windows und Linux ein. Die Tycoon genannte Malware ist offenbar bereits seit Dezember 2019 aktiv. Auch die Art und Weise, wie sie sich Zugang zu einem Netzwerk verschafft, ist v zufolge ungewöhnlich – aber wohl hilfreich, um unentdeckt zu bleiben.
Die bevorzugten Ziele der Hintermänner von Tycoon sind Softwareanbieter und Bildungseinrichtungen. Auffällig ist den Forschern zufolge, dass die Ransomware in Java geschrieben wurden und als Java Runtime Environment verteilt wird. Dafür kompilieren die Hintermänner die Schadsoftware in einer Java-Image-Datei (Jimage), um ihre gefährlichen Absichten zu verschleiern.
„Das sind beides einzigartige Methoden. Java wird nur sehr selten zum Schreiben von Endpunkt-Malware verwendet, da es die Java-Laufzeitumgebung benötigt, um den Code ausführen zu können. Image-Dateien werden nur selten für Malware-Angriffe verwendet“, sagte Eric Milam, Vice President bei BlackBerry, im Gespräch mit ZDNet.com. „Die Angreifer verlagern sich auf ungewöhnliche Programmiersprachen und obskure Datenformate. Hier brauchten sie ihren Code nicht zu verschleiern, sind aber dennoch erfolgreich beim Erreichen ihrer Ziele.“
Das eigentlich Einfallstor von Tycoon ist jedoch nicht ungewöhnlich: unsichere, mit dem Internet verbundene RDP-Server. Oftmals kommen bei solchen Angriffen zuvor kompromittierte oder schwache Passwörter zum Einsatz.
Sobald ein Netzwerk kompromittiert wurde, bedienen sich die Cyberkriminellen einer Image File Execution Options genannten Funktion, die Entwickler eigentlich in die Lage versetzen soll, Fehler in ihrer Software zu suchen. Das Tool ProcessHacker kommt ebenfalls zum Einsatz, um Antivirensoftware abzuschalten und eine Entfernung ihre Malware zu unterbinden.
Danach geht Tycoon allerdings wie praktisch jede andere Ransomware vor. Es werden alle Dateien im Netzwerk verschlüsselt und deren Dateiendungen verändert. Das Lösegeld soll in Bitcoin bezahlt werden – seine Höhe richtet sich danach, wie schnell das Opfer mit den Erpressern Kontakt aufnimmt.
Die Forscher fanden zudem Ähnlichkeiten zu einer anderen Ransomware, die als Dharma oder Crysis bezeichnet wird. Unter anderem E-Mail-Adressen der Hacker, Dateinamen und sogar der Text der Lösegeldforderung legen eine Verbindung nahe.
Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Neueste Kommentare
Noch keine Kommentare zu Ransomware nimmt Windows- und Linux-Systeme mit neuartigem Angriff ins Visier
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.