Categories: SicherheitVirus

Ransomware nimmt Windows- und Linux-Systeme mit neuartigem Angriff ins Visier

Hacker setzen eine neue Art von Ransomware derzeit bei zielgerichteten Angriffen gegen Windows und Linux ein. Die Tycoon genannte Malware ist offenbar bereits seit Dezember 2019 aktiv. Auch die Art und Weise, wie sie sich Zugang zu einem Netzwerk verschafft, ist v zufolge ungewöhnlich – aber wohl hilfreich, um unentdeckt zu bleiben.

Die bevorzugten Ziele der Hintermänner von Tycoon sind Softwareanbieter und Bildungseinrichtungen. Auffällig ist den Forschern zufolge, dass die Ransomware in Java geschrieben wurden und als Java Runtime Environment verteilt wird. Dafür kompilieren die Hintermänner die Schadsoftware in einer Java-Image-Datei (Jimage), um ihre gefährlichen Absichten zu verschleiern.

„Das sind beides einzigartige Methoden. Java wird nur sehr selten zum Schreiben von Endpunkt-Malware verwendet, da es die Java-Laufzeitumgebung benötigt, um den Code ausführen zu können. Image-Dateien werden nur selten für Malware-Angriffe verwendet“, sagte Eric Milam, Vice President bei BlackBerry, im Gespräch mit ZDNet.com. „Die Angreifer verlagern sich auf ungewöhnliche Programmiersprachen und obskure Datenformate. Hier brauchten sie ihren Code nicht zu verschleiern, sind aber dennoch erfolgreich beim Erreichen ihrer Ziele.“

Das eigentlich Einfallstor von Tycoon ist jedoch nicht ungewöhnlich: unsichere, mit dem Internet verbundene RDP-Server. Oftmals kommen bei solchen Angriffen zuvor kompromittierte oder schwache Passwörter zum Einsatz.

Sobald ein Netzwerk kompromittiert wurde, bedienen sich die Cyberkriminellen einer Image File Execution Options genannten Funktion, die Entwickler eigentlich in die Lage versetzen soll, Fehler in ihrer Software zu suchen. Das Tool ProcessHacker kommt ebenfalls zum Einsatz, um Antivirensoftware abzuschalten und eine Entfernung ihre Malware zu unterbinden.

Danach geht Tycoon allerdings wie praktisch jede andere Ransomware vor. Es werden alle Dateien im Netzwerk verschlüsselt und deren Dateiendungen verändert. Das Lösegeld soll in Bitcoin bezahlt werden – seine Höhe richtet sich danach, wie schnell das Opfer mit den Erpressern Kontakt aufnimmt.

Die Forscher fanden zudem Ähnlichkeiten zu einer anderen Ransomware, die als Dharma oder Crysis bezeichnet wird. Unter anderem E-Mail-Adressen der Hacker, Dateinamen und sogar der Text der Lösegeldforderung legen eine Verbindung nahe.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Kaspersky-Prognose: Raffiniertere Deepfakes und mehr Abo-Betrug

Die zunehmende KI-Verbreitung erschwere die Erkennung von Fälschungen. Gleichzeitig begünstige der Abo-Trend das Aufkommen neuer…

2 Stunden ago

Infineon und Quantinuum schließen Entwicklungspartnerschaft

Gemeinsam arbeiten die Konzerne an Ionenfallen, die in Hochleistungs-Quantencomputern zum Einsatz kommen sollen.

7 Stunden ago

Forschende beheben SIEM-Defizite mit ML-Lösung

Neu entwickeltes Open-Source-System soll Signatur-Umgehungen durch adaptive Missbrauchserkennung transparent machen.

9 Stunden ago

Google stopft vier Sicherheitslöcher in Chrome 131

Von mindestens einer Schwachstelle geht ein hohes Sicherheitsrisiko aus. Betroffen sind Chrome für Windows, macOS…

11 Stunden ago

Bitcoin-Trading für Einsteiger und Profis mit Kraken

Digitale Währungen haben in nur kurzer Zeit die komplette Finanzlandschaft auf den Kopf gestellt. Mit…

13 Stunden ago

Dezember-Patchday: Google stopft schwerwiegende Löcher in Android

Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung. Angreifbar sind alle unterstützten Versionen von Android.

1 Tag ago