Ransomware - Felix Bauer

BlackCat Ransomware hinter Fake WinSCP

Am 3. Juli 2023 von Felix Bauer / 0 Kommentare

Kriminelle Aktivitäten im Internet nehmen weiter zu. Cyberkriminelle nutzen zunehmend Anzeigen in Suchergebnissen, um schädliche Tools zu verbreiten, darunter die Ransomware BlackCat (auch bekannt als ALPHV), die Windows-Systeme angreift.

Die IT-Sicherheitsexperten von Trend Micro haben in den Suchmaschinen Bing und Google so genannte Malvertising-Anzeigen für den Open-Source-FTP-Client WinSCP entdeckt. Statt auf die legitime Seite winscp.net führen die betrügerischen Anzeigen auf die gefälschte Seite winsccp.com. Ein Klick auf den dortigen Download-Link führt zum Herunterladen einer ISO-Datei mit einer Setup- und einer DLL-Datei auf den Rechner des Nutzers. Während durch Ausführen der Setup-Datei das gewünschte WinSCP installiert wird, wird gleichzeitig Schadcode auf dem Rechner abgelegt.

Dadurch erhalten die Täter Zugriff auf den Computer und können mit ihren Command-and-Control-Servern kommunizieren und weitere Schadsoftware installieren. Mit Hilfe des Tools AdFind werden Informationen aus Active Directory Umgebungen extrahiert. Mit diesen erbeuteten Informationen können die Angreifer weitreichenden Zugriff auf das Active Directory erlangen. Mit Hilfe von AnyDesk richten die Kriminellen dann einen Fernzugriff ein. Im weiteren Verlauf laden die Angreifer ihre Ransomware BlackCat auf den kompromittierten PC.

→ weiterlesen

Entschlüsselungstool für die Akira Ransomware

Am 2. Juli 2023 von Felix Bauer / 0 Kommentare

Die Sicherheitsexperten von Avast haben ein kostenloses Tool zur Entschlüsselung der Akira-Ransomware für Windows-Systeme zur Verfügung gestellt.

Zu beachten ist jedoch, dass dieses Tool nur mit der im März 2023 aufgetauchten Variante der Akira-Ransomware kompatibel ist. Ältere Versionen wie die aus dem Jahr 2017 lassen sich damit nicht entschlüsseln.

Die Akira-Ransomware, die sowohl Windows- als auch Linux-PCs befällt, kennzeichnet ihre infizierten Dateien mit der Endung .akira und fordert für deren Freigabe in der Regel ein Lösegeld. Die Ransomware scheint es vor allem auf Unternehmensnetzwerke abgesehen zu haben.

Zur Verschlüsselung der Dateien greift Akira auf unterschiedliche Ressourcen zurück: Unter Windows verwendet Akira die Windows CryptoAPI, unter Linux die Bibliothek Crypto++.

Das jetzt veröffentlichte Entschlüsselungstool ist sehr speicherintensiv, weshalb Experten empfehlen, die 64-Bit-Version für Windows zu verwenden. Für eine erfolgreiche Entschlüsselung muss mindestens eine verschlüsselte Datei sowie die unverschlüsselte Originalversion zur Verfügung stehen.

→ weiterlesen

Neue Erpressermasche: Ransomware-Betreiber wollen sensible Firmendaten veröffentlichen

Am 27. Januar 2020 von Felix Bauer

Eine neue Taktik von Ransomware-Entwicklern besteht darin, sensible Daten infizierter Unternehmen zu veröffentlichen, wenn diese das geforderte Lösegeld nicht zahlen.

Die Hintermänner der Ransomware REvil (auch bekannt als Sodinokibi) haben angekündigt, gestohlene Dateien und Daten als Druckmittel einzusetzen, um infizierte Unternehmen zur Zahlung des Lösegelds zu bewegen.

→ weiterlesen