Im Jahr 2022 stieß das Forschungs- und Analyseteam von Kaspersky auf zwei ungewöhnliche Erkennungen im Prozess von WININIT.EXE. Diese wurden durch Code-Sequenzen ausgelöst, die zuvor in der „Equation“-Malware beobachtet worden waren. Diese Aktivitäten sind mindestens seit 2017 im Gange und hatten sich einer früheren Analyse effektiv entzogen. Die Malware wurde bis dato als Kryptowährungs-Miner klassifiziert. Allerdings handelt es sich bei dieser Mining-Komponente nur um einen Bestandteil eines viel größeren plattformübergreifenden Malware-Frameworks mit mehreren Plugins.
Der Payload der Malware umfasst mehrere Module, die es dem Angreifer ermöglichen als APT, Krypto-Miner als auch Ransomware-Gruppe aufzutreten. Die Angreifer sind sowohl an Spionage als auch finanziellem Gewinn interessiert. Die durch das Modul geschürfte Kryptowährung Monero erreichte am 9. Januar 2018 mit 542,33 US-Dollar ihren Höchstwert. Im Jahr 2017 lag der Kurs noch bei rund 10 US-Dollar. Bis zum Jahr 2023 hat sich der Kurs bei etwa 150 US-Dollar eingependelt. Laut den Kaspersky-Experten ist das Mining-Modul der Hauptfaktor dafür, dass die Malware über einen längeren Zeitraum unentdeckt blieb. Der Angreifer, der hinter dieser Operation steckt, hat sich umfangreiche Fähigkeiten angeeignet, um seine Opfer auszuspionieren.
Weitere Untersuchungen von Kaspersky zeigen, dass die Malware ein speziell angefertigtes EternalBlue „SMBv1“-Exploit nutzte, um die Systeme der Opfer zu infiltrieren. Trotz des Bekanntwerdens der EternalBlue-Schwachstelle im Jahr 2017 und der anschließenden Veröffentlichung eines Patches durch Microsoft (MS17-010) [2] ist die Bedrohung durch diese Schwachstelle nach wie vor erheblich, da viele Nutzer ihre Systeme nicht aktualisiert haben.
Bei der technischen Analyse stellten die Experten von Kaspersky Ähnlichkeiten mit der Equation-Malware fest. Dazu gehören technische Indikatoren wie Signaturen, die mit der Equation-Malware in Verbindung gebracht werden sowie ein Kodierungsstil und -verfahren, die denen der StraitBizzare (SBZ)-Malware ähneln. Basierend auf den Download-Zählern des Repositories, in dem die Malware gehostet wird, wird die Zahl der Opfer von StripedFly auf über eine Million weltweit geschätzt.
„Der Aufwand, der in die Entwicklung dieses Frameworks investiert wurde, ist bemerkenswert und seine Entdeckung ziemlich überraschend. Die Fähigkeit der Cyberkriminellen, sich anzupassen und weiterzuentwickeln, stellt eine ständige Herausforderung dar“, sagt Sergey Lozhkin von Kaspersky.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.