Microsoft: Gegen Ukraine eingesetzte Malware ist keine Ransomware

Sie ersetzt den Master Boot Record durch eine Lösegeldforderung. Die Malware besitzt jedoch keine Funktion, um den Master Boot Record wiederherzustellen. Microsoft geht davon aus, dass die Angreifer die Zielsysteme in der Ukraine unbrauchbar machen wollen.

Forscher von Microsofts Threat Intelligence Center haben die Schadsoftware analysiert, die Ende vergangener Woche bei einem großangelegten Angriff auf Behörden und Einrichtungen in der Ukraine eingesetzt wurde. Ihnen zufolge sollte die Malware auf den ersten Blick „wie eine Ransomware“ aussehen – es fehle jedoch ein Mechanismus zur Wiederherstellung von Daten nach einer Lösegeldzahlung.

Microsoft geht davon aus, dass die Malware zerstörerisch wirken soll und darauf abzielt, die Zielgeräte funktionsunfähig zu machen, anstatt ein Lösegeld zu erpressen“, erklärte das Unternehmen.

„Zum jetzigen Zeitpunkt und basierend auf den Erkenntnissen von Microsoft haben unsere Untersuchungsteams die Malware auf Dutzenden von betroffenen Systemen identifiziert, und diese Zahl könnte im Lauf unserer Untersuchung noch steigen“, so die Forscher weiter. „Diese Systeme umfassen mehrere Regierungs-, Non-Profit- und IT-Organisationen, die alle in der Ukraine ansässig sind. Wir wissen nicht, in welchem Stadium sich der Operationszyklus des Angreifers befindet und wie viele andere Opferorganisationen es in der Ukraine oder an anderen geografischen Standorten geben könnte. Es ist jedoch unwahrscheinlich, dass die betroffenen Systeme das gesamte Ausmaß der Auswirkungen repräsentieren, wie sie von anderen Organisationen gemeldet werden.“

Die Schadsoftware wird über Impacket ausgeführt und überschreibt den Master Boot Record (MBR) auf einem System mit einer Lösegeldforderung von 10.000 US-Dollar in Bitcoin. Sobald ein Gerät heruntergefahren wird, wird die Malware ausgeführt. Laut Microsoft ist es „untypisch“ für cyberkriminelle Ransomware, den MBR zu überschreiben.

Auch wenn eine Lösegeldforderung beigefügt ist, handelt es sich laut Microsoft nur um eine List. Die Malware findet Dateien in bestimmten Verzeichnissen mit Dutzenden der gängigsten Dateierweiterungen und überschreibt den Inhalt mit einer festen Anzahl von 0xCC-Bytes. Nachdem der Inhalt überschrieben wurde, benennt der Destruktor jede Datei mit einer scheinbar zufälligen Vier-Byte-Erweiterung um.

Microsoft betonte, dass das Vorgehen der Angreifer untypisch für Cybererpresser sei. „In diesem Fall überschreibt die Malware den MBR, ohne dass es einen Mechanismus zur Wiederherstellung gibt.“

Themenseiten: Hacker, Microsoft, Ransomware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Microsoft: Gegen Ukraine eingesetzte Malware ist keine Ransomware

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *