Hannover Messer 2018
23.04.18 - 27.04.18
In Hannover

Rethink! IT Security D/A/CH
25.04.18 - 27.04.18
In Hotel Atlantic Kempinski Hamburg

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

Stop Malware FoundRansomware war speziell in den vergangenen Monaten oft in den Schlagzeilen. Fast wöchentlich werden neue Familien dieser Kategorie von Malware entdeckt.

Unit 42, die Malware- Analyseeinheit von Palo Alto Networks, hat nun eine neue Ransomware-Taktik aufgedeckt. Wurde Ransomware bislang durch Phishing-Mails und Exploit-Kits ungezielt verbreitet, zeichnet sich ein neuer Trend ab: Gezielte Angriffe, bei denen Ransomware von den Angreifern eingesetzt wird, nachdem sie sich bereits Zugang in das Netzwerk eines Unternehmens verschafft haben. Eine Malware-Familie, die in solchen Angriffen beobachtet werden konnte, ist bekannt als „SamSa“, „Samas“, „samsam“ oder zuletzt auch „MOKOPONI“.

Palo Alto Networks hat mehr als 20 Samples dieser Malware-Familie gesammelt. Die Malware wird wie folgt installiert: Zunächst versucht der Angreifer, sich Zugriff auf das Netzwerk eines Opfers zu verschaffen. Dann beginnt er damit, das Netzwerk zu erkunden, um sich seitlich zu bewegen und weitere potenzielle Opfer zu finden. Sobald genügend Opfersysteme gefunden sind, wird SamSa manuell zum Einsatz gebracht, mittels gängiger Systemadministrator-Hilfsprogramme wie PSExec. Nach der Bereitstellung der Malware auf den Opfer-Hosts, wird sie mit einem Public-RSA-Key installiert, der speziell für diesen bestimmten Angriff erzeugt wird. Zusätzlich wird ein Batch-Skript bereitgestellt, das zum Löschen der Volume-Shadow-Kopien auf dem infizierten Computer dient und das Wiederherstellen von Dateien verhindert. Dann wird SamSa ausgeführt und zerstört sich selbst nach erfolgreicher Verschlüsselung.

Mit Ausnahme der frühesten bekannten Samples, ist bei dieser Malware eine Public-RSA-Key-Datei erforderlich, die manuell als Befehlszeilenargument zur Verfügung gestellt werden muss. Dies ist völlig anders als bei anderen Ransomware-Familien, die Public Keys automatisch vom Command- and Control-Server erhalten. Auch bei den ersten Samples von SamSa war der Public RSA Key innerhalb der Malware selbst eingebettet. Für den Fall, dass ein Public Key nicht als Befehlszeilenargument zur Verfügung gestellt wird, wird die Malware entfernt, um die Erkennung in einer Sandbox-Umgebung zu verhindern.

Palo Alto Networks beobachtet die Malware seit Dezember. Die jüngsten Erkenntnisse sprechen dafür, dass SamSa für eine Reihe großer Infektionen in Unternehmen verantwortlich ist. Während die Malware selbst nicht sehr anspruchsvoll ist, macht die Angriffstaktik SamSa zu einer ernsthaften Bedrohung, die bislang unter dem Radar agierte. Diese Taktik ist gekennzeichnet durch das Fehlen einer Command-and-Control-Infrastruktur, die Fähigkeit, extern zugängliche Systeme zu kompromittieren, um nicht autorisierten Zugriff zu erlangen, und den Einsatz von Verschleierung.

Die Kompromittierungsindikatoren, die Palo Alto Networks gesammelt hat, sind hier zu finden.

Kunden von Palo Alto Networks Kunden sind vor dieser Bedrohung auf folgende Weise geschützt:

  1. WildFire identifiziert akkurat alle SamSa-Malware-Samples als „bösartig“.
  2. Domains, die von SamSa genutzt werden, werden in Threat Prevention als „bösartig“ gelistet.
  3. Für AutoFocus-Nutzer steht im Zusammenhang mit diesem Angriff der SamSa-Tag zur Verfügung.

www.paloaltonetworks.com

GRID LIST
Gérard Bauer

Vermeintlich russische Cyberattacken auf westliche IT-Infrastrukturen

Am Montag erklärten das US-Heimatschutzministerium, das FBI und das britische National…
Paul Parker

Cybersecurity im Gesundheitswesen

Nach Ansicht von Paul Parker, Cheftechnologe des Geschäftsbereichs für Regierungsbehörden…
Tb W190 H80 Crop Int 0a77a97abba355a6171f9e666819821a

Minecraft: Spieler sind von Schadsoftware in modifizierten „Skins“ bedroht

Eine Datenanalyse der vergangenen 30 Tage von Avast ergab, dass nahezu 50.000…
Tb W190 H80 Crop Int Cb37aa6c2115131c19c11ce3765ccfaf

Linux-Update mit Spectre- und Meltdown-Absicherung

Linux-Version 4.16 ist freigegeben. Neben einer optimierten Akkulaufzeit überzeugt die…
Kryptomining

Kryptomining – des einen Gewinn, des anderen Verlust

Kryptowährungen sind derzeit in aller Munde. Doch während sich das sogenannte Schürfen,…
Tb W190 H80 Crop Int D0056b181c01db247eae98c08298b41c

Deutschlands Maschinenbauer im Visier von Cyber-Attacken

Der Verband Deutscher Maschinen- und Anlagenbau e.V. (VDMA) veröffentlichte kürzlich eine…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security