SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

EuroCIS 2018
27.02.18 - 01.03.18
In Düsseldorf, Messe Halle 9 und 10

BIG DATA Marketing Day
27.02.18 - 27.02.18
In Wien

AUTOMATE IT 2018
01.03.18 - 01.03.18
In Hamburg, Schwanenwik 38

DIGITAL FUTUREcongress
01.03.18 - 01.03.18
In Frankfurt, Messe

Stop Malware FoundRansomware war speziell in den vergangenen Monaten oft in den Schlagzeilen. Fast wöchentlich werden neue Familien dieser Kategorie von Malware entdeckt.

Unit 42, die Malware- Analyseeinheit von Palo Alto Networks, hat nun eine neue Ransomware-Taktik aufgedeckt. Wurde Ransomware bislang durch Phishing-Mails und Exploit-Kits ungezielt verbreitet, zeichnet sich ein neuer Trend ab: Gezielte Angriffe, bei denen Ransomware von den Angreifern eingesetzt wird, nachdem sie sich bereits Zugang in das Netzwerk eines Unternehmens verschafft haben. Eine Malware-Familie, die in solchen Angriffen beobachtet werden konnte, ist bekannt als „SamSa“, „Samas“, „samsam“ oder zuletzt auch „MOKOPONI“.

Palo Alto Networks hat mehr als 20 Samples dieser Malware-Familie gesammelt. Die Malware wird wie folgt installiert: Zunächst versucht der Angreifer, sich Zugriff auf das Netzwerk eines Opfers zu verschaffen. Dann beginnt er damit, das Netzwerk zu erkunden, um sich seitlich zu bewegen und weitere potenzielle Opfer zu finden. Sobald genügend Opfersysteme gefunden sind, wird SamSa manuell zum Einsatz gebracht, mittels gängiger Systemadministrator-Hilfsprogramme wie PSExec. Nach der Bereitstellung der Malware auf den Opfer-Hosts, wird sie mit einem Public-RSA-Key installiert, der speziell für diesen bestimmten Angriff erzeugt wird. Zusätzlich wird ein Batch-Skript bereitgestellt, das zum Löschen der Volume-Shadow-Kopien auf dem infizierten Computer dient und das Wiederherstellen von Dateien verhindert. Dann wird SamSa ausgeführt und zerstört sich selbst nach erfolgreicher Verschlüsselung.

Mit Ausnahme der frühesten bekannten Samples, ist bei dieser Malware eine Public-RSA-Key-Datei erforderlich, die manuell als Befehlszeilenargument zur Verfügung gestellt werden muss. Dies ist völlig anders als bei anderen Ransomware-Familien, die Public Keys automatisch vom Command- and Control-Server erhalten. Auch bei den ersten Samples von SamSa war der Public RSA Key innerhalb der Malware selbst eingebettet. Für den Fall, dass ein Public Key nicht als Befehlszeilenargument zur Verfügung gestellt wird, wird die Malware entfernt, um die Erkennung in einer Sandbox-Umgebung zu verhindern.

Palo Alto Networks beobachtet die Malware seit Dezember. Die jüngsten Erkenntnisse sprechen dafür, dass SamSa für eine Reihe großer Infektionen in Unternehmen verantwortlich ist. Während die Malware selbst nicht sehr anspruchsvoll ist, macht die Angriffstaktik SamSa zu einer ernsthaften Bedrohung, die bislang unter dem Radar agierte. Diese Taktik ist gekennzeichnet durch das Fehlen einer Command-and-Control-Infrastruktur, die Fähigkeit, extern zugängliche Systeme zu kompromittieren, um nicht autorisierten Zugriff zu erlangen, und den Einsatz von Verschleierung.

Die Kompromittierungsindikatoren, die Palo Alto Networks gesammelt hat, sind hier zu finden.

Kunden von Palo Alto Networks Kunden sind vor dieser Bedrohung auf folgende Weise geschützt:

  1. WildFire identifiziert akkurat alle SamSa-Malware-Samples als „bösartig“.
  2. Domains, die von SamSa genutzt werden, werden in Threat Prevention als „bösartig“ gelistet.
  3. Für AutoFocus-Nutzer steht im Zusammenhang mit diesem Angriff der SamSa-Tag zur Verfügung.

www.paloaltonetworks.com

GRID LIST
Tb W190 H80 Crop Int 55506f221ab84cba05d05865a12ffc34

Sicherheit in der „Smart City“ – worauf es ankommt

Technologien verändern unseren Alltag, das zeigt ein kurzer Blick auf die Kommunikation:…
Tb W190 H80 Crop Int 30fc4f90cd196143425331ec53049b63

Cyberkriminalität: "Den Menschen in den Mittelpunkt stellen"

Gemeinsam gegen Cyberkriminelle: Das Land Nordrhein-Westfalen intensiviert die…
Tb W190 H80 Crop Int 06f6eb4c29171a4441de1ba66103d83b

Cryptomining-Kampagne mit Jenkins Server entdeckt

Check Point Software Technologies Ltd. (NASDAQ: CHKP), entdeckt riesige…
Cyber Attack

Wenn Angreifer Admin-Tools für Cyberattacken missbrauchen

Eine der schwierigsten Aufgaben bei der Suche nach versteckten Angreifern im Netzwerk…
Tb W190 H80 Crop Int 7c77460484978a4728239d15bea143e1

Malware über Zero-Day-Schwachstelle in Telegram

Die Sicherheitsexperten von Kaspersky Lab haben Angriffe aufgedeckt, die mittels einer…
Tb W190 H80 Crop Int 18b7ca49e8f858989fae8325fe356d18

PZChao: Spionage-Infrastruktur mit Cryptominer

Der Malware-Werkzeugkasten „PZChao“, verfügt über eine umfassende Infrastruktur zur…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security