PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Data Driven Business 2017
13.11.17 - 14.11.17
In Berlin

Stop Malware FoundRansomware war speziell in den vergangenen Monaten oft in den Schlagzeilen. Fast wöchentlich werden neue Familien dieser Kategorie von Malware entdeckt.

Unit 42, die Malware- Analyseeinheit von Palo Alto Networks, hat nun eine neue Ransomware-Taktik aufgedeckt. Wurde Ransomware bislang durch Phishing-Mails und Exploit-Kits ungezielt verbreitet, zeichnet sich ein neuer Trend ab: Gezielte Angriffe, bei denen Ransomware von den Angreifern eingesetzt wird, nachdem sie sich bereits Zugang in das Netzwerk eines Unternehmens verschafft haben. Eine Malware-Familie, die in solchen Angriffen beobachtet werden konnte, ist bekannt als „SamSa“, „Samas“, „samsam“ oder zuletzt auch „MOKOPONI“.

Palo Alto Networks hat mehr als 20 Samples dieser Malware-Familie gesammelt. Die Malware wird wie folgt installiert: Zunächst versucht der Angreifer, sich Zugriff auf das Netzwerk eines Opfers zu verschaffen. Dann beginnt er damit, das Netzwerk zu erkunden, um sich seitlich zu bewegen und weitere potenzielle Opfer zu finden. Sobald genügend Opfersysteme gefunden sind, wird SamSa manuell zum Einsatz gebracht, mittels gängiger Systemadministrator-Hilfsprogramme wie PSExec. Nach der Bereitstellung der Malware auf den Opfer-Hosts, wird sie mit einem Public-RSA-Key installiert, der speziell für diesen bestimmten Angriff erzeugt wird. Zusätzlich wird ein Batch-Skript bereitgestellt, das zum Löschen der Volume-Shadow-Kopien auf dem infizierten Computer dient und das Wiederherstellen von Dateien verhindert. Dann wird SamSa ausgeführt und zerstört sich selbst nach erfolgreicher Verschlüsselung.

Mit Ausnahme der frühesten bekannten Samples, ist bei dieser Malware eine Public-RSA-Key-Datei erforderlich, die manuell als Befehlszeilenargument zur Verfügung gestellt werden muss. Dies ist völlig anders als bei anderen Ransomware-Familien, die Public Keys automatisch vom Command- and Control-Server erhalten. Auch bei den ersten Samples von SamSa war der Public RSA Key innerhalb der Malware selbst eingebettet. Für den Fall, dass ein Public Key nicht als Befehlszeilenargument zur Verfügung gestellt wird, wird die Malware entfernt, um die Erkennung in einer Sandbox-Umgebung zu verhindern.

Palo Alto Networks beobachtet die Malware seit Dezember. Die jüngsten Erkenntnisse sprechen dafür, dass SamSa für eine Reihe großer Infektionen in Unternehmen verantwortlich ist. Während die Malware selbst nicht sehr anspruchsvoll ist, macht die Angriffstaktik SamSa zu einer ernsthaften Bedrohung, die bislang unter dem Radar agierte. Diese Taktik ist gekennzeichnet durch das Fehlen einer Command-and-Control-Infrastruktur, die Fähigkeit, extern zugängliche Systeme zu kompromittieren, um nicht autorisierten Zugriff zu erlangen, und den Einsatz von Verschleierung.

Die Kompromittierungsindikatoren, die Palo Alto Networks gesammelt hat, sind hier zu finden.

Kunden von Palo Alto Networks Kunden sind vor dieser Bedrohung auf folgende Weise geschützt:

  1. WildFire identifiziert akkurat alle SamSa-Malware-Samples als „bösartig“.
  2. Domains, die von SamSa genutzt werden, werden in Threat Prevention als „bösartig“ gelistet.
  3. Für AutoFocus-Nutzer steht im Zusammenhang mit diesem Angriff der SamSa-Tag zur Verfügung.

www.paloaltonetworks.com

GRID LIST
Tb W190 H80 Crop Int 8c5f1d966d2eef8ccec63f1c2e1e49df

RAT: Hackers Door wird privat weiter verkauft

Der Remote Access Trojaner (RAT) „Hackers Door“ hat schon vor einiger Zeit von sich reden…
Tb W190 H80 Crop Int B043d8113264a1ebb208c5eeb5e5daec

KrackAttack: Was Sie jetzt wissen sollten

Die Erfinder des Wi-Fi hatten die aktuellen Sicherheitsprobleme nicht im Blick, als sie…
Tb W190 H80 Crop Int 9fdb6e3de368c7c543cba1f46ef268c0

Sicherheit im Netz: Bleiben wir wachsam | Kommentar

Zahlreiche Cyberattacken zeigen uns, dass ein Zwischenfall katastrophale Folgen haben…
DDoS Bomben

Secondhand DDoS-Angriffe: Worauf Service Provider achten sollten

Immer mehr Unternehmen weltweit verlassen sich auf gehostete kritische Infrastrukturen…
Crime Scene

Wie kann ein Angriff auf IT-Systeme nachgewiesen werden?

Die Forschungsgruppen der Frankfurt UAS und der Hochschule Darmstadt entwickeln Methoden…
Bluetooth

Bluetooth-Schwachstelle Blueborne

Hersteller und Nutzer von Bluetooth-fähigen Geräten weltweit waren in Aufruhr, als…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet