Categories: Alerts

Ransomware mit verschlüsselungsfreier Erpressung

Die Malware, die in der Sprache Go kodiert und als 64-Bit-Windows-System kompiliert wurde, trat zunächst mit einem doppelten Erpressungsansatz in Erscheinung. Sie wurde zur Infiltration von Netzwerken genutzt, um Systeme zu verschlüsseln und dann unter Androhung der öffentlichen Bloßstellung der gekidnappten Daten Lösegeld zu fordern. Nachdem ein Sicherheitshersteller ein leistungsfähiges Entschlüsselungsprogramm veröffentlichte, änderte die Gruppe ihre Strategie. Sie verschlüsselten die kompromittierten Systeme nicht mehr, sondern konzentrierten sich ausschließlich auf den Diebstahl sensibler Daten und nutzten diese als Druckmittel, um ihre Opfer zu erpressen. Sowohl das Federal Bureau of Investigation (FBI) als auch das Australian Cyber Security Centre (ACSC) bestätigen dies, indem sie eine Verlagerung hin zu einer ausschließlich auf Exfiltration basierenden Erpressung mit intakten Systemen beobachtet haben.

Konzentration auf kritische Infrastrukturen

Seit seinem Auftauchen im Juni 2022 hat sich BianLian zu einer gefürchteten Cyberkriminellengruppe entwickelt, die sich auf die Entwicklung, den Einsatz und die Erpressung von Daten mit ihrer berüchtigten Ransomware spezialisiert hat und mehr als 145 Unternehmen zum Opfer gefallen ist. Sie konzentrieren sich in erster Linie auf kritische Infrastrukturen in den USA und Australien sowie auf professionelle Dienstleistungen und Immobilienunternehmen. Seit Anfang des Jahres wurde bekannt, dass die Ransomware auch in der Schweiz in Hospitälern sein Unwesen treibt. BianLians Infiltrationstaktik beruht auf der Ausnutzung gültiger RDP-Anmeldeinformationen, der ProxyShell-Schwachstellenkette (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) und SonicWall VPN-Geräten. Darüber hinaus werden Open-Source-Tools und Befehlszeilenskripte für die Erkundung und das Abgreifen von Anmeldeinformationen genutzt. Sobald sie in die Systeme eines Opfers eingedrungen sind, schleusen sie sensible Daten über verschiedene Kanäle wie das File Transfer Protocol (FTP), Rclone oder Mega ein.

Roger Homrich

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

5 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

9 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

10 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

10 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

11 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

13 Stunden ago