Plattformübergreifende Ransomware

Wie die Kaspersky-Expertin Julia Glazova in ihrem Blog berichtet, haben es Ransomware-Gruppierungen letzter Zeit nicht nur zunehmend auf Windows-Computer, sondern auch auf Linux-Geräte und virtuelle ESXi-Maschinen abgesehen. Wir haben vor kurzem bereits über die cyberkriminelle Gruppe BlackCat berichtet, die in der plattformübergreifenden Sprache Rust geschriebene Malware verbreitet, mit der solche Systeme verschlüsselt werden können. Unsere Experten haben zwei weitere Malware-Familien analysiert, die kürzlich im Dark Web aufgetaucht sind und ähnliche Funktionen zeigen: Black Basta und Luna.

Black Basta — Ransomware für ESXi

Black Basta wurde erstmals im Februar entdeckt. Die Malware gibt es sowohl für Windows als auch für Linux; dabei zielt die auf Linux-Systeme ausgerichtete Malware hauptsächlich auf ESXi-Images virtueller Maschinen ab. Die Windows-Version zeichnet sich dadurch aus, dass sie das System im abgesicherten Modus startet, bevor sie es verschlüsselt. Auf diese Weise wird es der Malware ermöglicht, eine Erkennung durch Sicherheitslösungen, von denen viele im abgesicherten Modus nicht funktionieren, zu umgehen.

Zum Zeitpunkt unseres Artikels haben die Entwickler hinter Black Basta bereits Informationen über 40 Opfer veröffentlicht, darunter Produktions- und Elektronikunternehmen, Bauunternehmer und andere. Laut Angaben von Kaspersky lassen sich die Zielobjekte in den USA, Australien, Europa, Asien und Lateinamerika lokalisieren.

Luna — Rust-basierte Ransomware

Die Luna-Malware wurde von unseren Forschern im Juni entdeckt. Sie ist ebenfalls in der Programmiersprache Rust geschrieben und ist in der Lage, sowohl Windows- und Linux-Geräte als auch virtuelle ESXi-Images zu verschlüsseln. In einer Anzeige im Dark Web behaupten die Cyberkriminellen, dass sie nur mit russischsprachigen Partnern zusammenarbeiten. Das bedeutet, dass die für die Angreifer interessanten Zielobjekte mit großer Wahrscheinlichkeit außerhalb der ehemaligen Sowjetunion liegen. Darauf deutet auch die Tatsache hin, dass die in den Code der Ransomware eingebettete Lösegeldforderung in, wenn auch fehlerhaftem, Englisch verfasst ist.

So schützen Sie sich vor Ransomware

Ransomware ist und bleibt auch weiterhin eine ernsthafte Bedrohung für Unternehmen. Es tauchen immer wieder neue Akteure auf dem Markt auf, die schnell die jüngsten Trends aufgreifen. Um sich zu schützen, müssen Sie deshalb die Bedrohungslage stets im Auge behalten und Ihre Schutzstrategie fortlaufend anpassen.

Behalten Sie darüber hinaus im Hinterkopf, dass alle mit dem Internet verbundenen Unternehmensgeräte mit zuverlässigen Sicherheitslösungen ausgestattet sein sollten; dazu gehören auch Server, die unter Linux laufen – Angriffe auf Letztere häufen sich in letzter Zeit zunehmend.