Forscher von Microsofts Threat Intelligence Center haben die Schadsoftware analysiert, die Ende vergangener Woche bei einem großangelegten Angriff auf Behörden und Einrichtungen in der Ukraine eingesetzt wurde. Ihnen zufolge sollte die Malware auf den ersten Blick „wie eine Ransomware“ aussehen – es fehle jedoch ein Mechanismus zur Wiederherstellung von Daten nach einer Lösegeldzahlung.
„Microsoft geht davon aus, dass die Malware zerstörerisch wirken soll und darauf abzielt, die Zielgeräte funktionsunfähig zu machen, anstatt ein Lösegeld zu erpressen“, erklärte das Unternehmen.
„Zum jetzigen Zeitpunkt und basierend auf den Erkenntnissen von Microsoft haben unsere Untersuchungsteams die Malware auf Dutzenden von betroffenen Systemen identifiziert, und diese Zahl könnte im Lauf unserer Untersuchung noch steigen“, so die Forscher weiter. „Diese Systeme umfassen mehrere Regierungs-, Non-Profit- und IT-Organisationen, die alle in der Ukraine ansässig sind. Wir wissen nicht, in welchem Stadium sich der Operationszyklus des Angreifers befindet und wie viele andere Opferorganisationen es in der Ukraine oder an anderen geografischen Standorten geben könnte. Es ist jedoch unwahrscheinlich, dass die betroffenen Systeme das gesamte Ausmaß der Auswirkungen repräsentieren, wie sie von anderen Organisationen gemeldet werden.“
Die Schadsoftware wird über Impacket ausgeführt und überschreibt den Master Boot Record (MBR) auf einem System mit einer Lösegeldforderung von 10.000 US-Dollar in Bitcoin. Sobald ein Gerät heruntergefahren wird, wird die Malware ausgeführt. Laut Microsoft ist es „untypisch“ für cyberkriminelle Ransomware, den MBR zu überschreiben.
Auch wenn eine Lösegeldforderung beigefügt ist, handelt es sich laut Microsoft nur um eine List. Die Malware findet Dateien in bestimmten Verzeichnissen mit Dutzenden der gängigsten Dateierweiterungen und überschreibt den Inhalt mit einer festen Anzahl von 0xCC-Bytes. Nachdem der Inhalt überschrieben wurde, benennt der Destruktor jede Datei mit einer scheinbar zufälligen Vier-Byte-Erweiterung um.
Microsoft betonte, dass das Vorgehen der Angreifer untypisch für Cybererpresser sei. „In diesem Fall überschreibt die Malware den MBR, ohne dass es einen Mechanismus zur Wiederherstellung gibt.“
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…