Hacker setzen eine neue Art von Ransomware derzeit bei zielgerichteten Angriffen gegen Windows und Linux ein. Die Tycoon genannte Malware ist offenbar bereits seit Dezember 2019 aktiv. Auch die Art und Weise, wie sie sich Zugang zu einem Netzwerk verschafft, ist v zufolge ungewöhnlich – aber wohl hilfreich, um unentdeckt zu bleiben.
„Das sind beides einzigartige Methoden. Java wird nur sehr selten zum Schreiben von Endpunkt-Malware verwendet, da es die Java-Laufzeitumgebung benötigt, um den Code ausführen zu können. Image-Dateien werden nur selten für Malware-Angriffe verwendet“, sagte Eric Milam, Vice President bei BlackBerry, im Gespräch mit ZDNet.com. „Die Angreifer verlagern sich auf ungewöhnliche Programmiersprachen und obskure Datenformate. Hier brauchten sie ihren Code nicht zu verschleiern, sind aber dennoch erfolgreich beim Erreichen ihrer Ziele.“
Das eigentlich Einfallstor von Tycoon ist jedoch nicht ungewöhnlich: unsichere, mit dem Internet verbundene RDP-Server. Oftmals kommen bei solchen Angriffen zuvor kompromittierte oder schwache Passwörter zum Einsatz.
Sobald ein Netzwerk kompromittiert wurde, bedienen sich die Cyberkriminellen einer Image File Execution Options genannten Funktion, die Entwickler eigentlich in die Lage versetzen soll, Fehler in ihrer Software zu suchen. Das Tool ProcessHacker kommt ebenfalls zum Einsatz, um Antivirensoftware abzuschalten und eine Entfernung ihre Malware zu unterbinden.
Danach geht Tycoon allerdings wie praktisch jede andere Ransomware vor. Es werden alle Dateien im Netzwerk verschlüsselt und deren Dateiendungen verändert. Das Lösegeld soll in Bitcoin bezahlt werden – seine Höhe richtet sich danach, wie schnell das Opfer mit den Erpressern Kontakt aufnimmt.
Die Forscher fanden zudem Ähnlichkeiten zu einer anderen Ransomware, die als Dharma oder Crysis bezeichnet wird. Unter anderem E-Mail-Adressen der Hacker, Dateinamen und sogar der Text der Lösegeldforderung legen eine Verbindung nahe.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
