Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

Stop Malware FoundRansomware war speziell in den vergangenen Monaten oft in den Schlagzeilen. Fast wöchentlich werden neue Familien dieser Kategorie von Malware entdeckt.

Unit 42, die Malware- Analyseeinheit von Palo Alto Networks, hat nun eine neue Ransomware-Taktik aufgedeckt. Wurde Ransomware bislang durch Phishing-Mails und Exploit-Kits ungezielt verbreitet, zeichnet sich ein neuer Trend ab: Gezielte Angriffe, bei denen Ransomware von den Angreifern eingesetzt wird, nachdem sie sich bereits Zugang in das Netzwerk eines Unternehmens verschafft haben. Eine Malware-Familie, die in solchen Angriffen beobachtet werden konnte, ist bekannt als „SamSa“, „Samas“, „samsam“ oder zuletzt auch „MOKOPONI“.

Palo Alto Networks hat mehr als 20 Samples dieser Malware-Familie gesammelt. Die Malware wird wie folgt installiert: Zunächst versucht der Angreifer, sich Zugriff auf das Netzwerk eines Opfers zu verschaffen. Dann beginnt er damit, das Netzwerk zu erkunden, um sich seitlich zu bewegen und weitere potenzielle Opfer zu finden. Sobald genügend Opfersysteme gefunden sind, wird SamSa manuell zum Einsatz gebracht, mittels gängiger Systemadministrator-Hilfsprogramme wie PSExec. Nach der Bereitstellung der Malware auf den Opfer-Hosts, wird sie mit einem Public-RSA-Key installiert, der speziell für diesen bestimmten Angriff erzeugt wird. Zusätzlich wird ein Batch-Skript bereitgestellt, das zum Löschen der Volume-Shadow-Kopien auf dem infizierten Computer dient und das Wiederherstellen von Dateien verhindert. Dann wird SamSa ausgeführt und zerstört sich selbst nach erfolgreicher Verschlüsselung.

Mit Ausnahme der frühesten bekannten Samples, ist bei dieser Malware eine Public-RSA-Key-Datei erforderlich, die manuell als Befehlszeilenargument zur Verfügung gestellt werden muss. Dies ist völlig anders als bei anderen Ransomware-Familien, die Public Keys automatisch vom Command- and Control-Server erhalten. Auch bei den ersten Samples von SamSa war der Public RSA Key innerhalb der Malware selbst eingebettet. Für den Fall, dass ein Public Key nicht als Befehlszeilenargument zur Verfügung gestellt wird, wird die Malware entfernt, um die Erkennung in einer Sandbox-Umgebung zu verhindern.

Palo Alto Networks beobachtet die Malware seit Dezember. Die jüngsten Erkenntnisse sprechen dafür, dass SamSa für eine Reihe großer Infektionen in Unternehmen verantwortlich ist. Während die Malware selbst nicht sehr anspruchsvoll ist, macht die Angriffstaktik SamSa zu einer ernsthaften Bedrohung, die bislang unter dem Radar agierte. Diese Taktik ist gekennzeichnet durch das Fehlen einer Command-and-Control-Infrastruktur, die Fähigkeit, extern zugängliche Systeme zu kompromittieren, um nicht autorisierten Zugriff zu erlangen, und den Einsatz von Verschleierung.

Die Kompromittierungsindikatoren, die Palo Alto Networks gesammelt hat, sind hier zu finden.

Kunden von Palo Alto Networks Kunden sind vor dieser Bedrohung auf folgende Weise geschützt:

  1. WildFire identifiziert akkurat alle SamSa-Malware-Samples als „bösartig“.
  2. Domains, die von SamSa genutzt werden, werden in Threat Prevention als „bösartig“ gelistet.
  3. Für AutoFocus-Nutzer steht im Zusammenhang mit diesem Angriff der SamSa-Tag zur Verfügung.

www.paloaltonetworks.com

GRID LIST
Tb W190 H80 Crop Int C643b2c4d7af3e5bf9a53fb7d888e4a0

Phishing kann auch kleine Unternehmen treffen

Kürzlich wurde bekannt, dass sich diverse Restaurants sogenanntem „Dynamit-Phishing“…
Tb W190 H80 Crop Int 02a732366428f0b008fcb6021edc948f

Warum sich die Welt bereits im Cyberwar befindet

Obwohl einige Experten wie der Politikwissenschaftler Thomas Rid glauben, dass ein…
Trojaner

Der Trojaner Emotet ist weiterhin nicht zu stoppen

Der gefährliche Trojaner „Emotet“ hält Unternehmen, Behörden und Privatpersonen auf Trab.…
Tb W190 H80 Crop Int 97c30d94fa4781aa0faf0e0519d1928e

TajMahal: Spionageplattform mit 80 schädlichen Modulen

Die Experten von Kaspersky Lab haben ein technisch ausgereiftes Cyberspionage-Framework…
Scam Alert

Scam-Welle - Sex sells?

Cyberkriminelle versuchen derzeit im großen Stil, mit Fake-Mails Geld von ahnungslosen…
Hacker WhatsApp

Trojaner nutzt Android-Schwachstelle und liest bei WhatsApp mit

Die Virenanalysten von Doctor Web haben den gefährlichen Trojaner Android.InfectionAds.1…