Anzeige

Anzeige

Spyware

Ein neuer Bedrohungsakteur, den SentinelLabs mit dem Namen „Agrius“ bezeichnet, wurde Anfang 2020 bei seinen Aktivitäten in Israel beobachtet.

Eine Analyse dessen, was auf den ersten Blick wie eine Ransomware-Attacke aussah, enthüllte neue Varianten von Wipern (Löschprogramme), die in einer Reihe von destruktiven Angriffen gegen israelische Ziele eingesetzt wurden. Die Betreiber hinter den Angriffen tarnten ihre Aktivitäten absichtlich als Ransomware-Angriffe, welche unter anderem mit dem Wiper DEADWOOD (auch bekannt als Detbosit) durchgeführt wurden.

Agrius ist eine neue Gruppierung, die nach Einschätzung der Forscher wahrscheinlich iranischen Ursprungs ist, und vor allem Spionage- und Störaktivitäten im Nahen Osten durchführt. Die Gruppe nutzt sowohl eigene Technologie als auch öffentlich verfügbare offensive Tools, um eine Vielzahl von Organisationen im Nahen Osten anzugreifen. In einigen Fällen nutzte die Gruppe ihren Zugang, um zerstörerische Wiper-Malware einzusetzen, in anderen Fällen eine maßgeschneiderte Ransomware. In Anbetracht dessen scheint es unwahrscheinlich, dass Agrius ein finanziell motivierter Bedrohungsakteur ist.

 

 

Vom Wiper zur Ransomware

Einer der bei dem Angriff verwendeten Wiper mit dem Namen „Apostle" wurde später in eine voll funktionsfähige Ransomware umgewandelt, die die ursprünglichen Wiper-Funktionen ersetzt. Die im Programm enthaltene Nachricht deutet darauf hin, dass der Angriff auf eine kritische, staatliche Einrichtung in den Vereinigten Arabischen Emiraten gerichtet war. Die Ähnlichkeit mit der Wiper-Version sowie die Art des Ziels im Zusammenhang mit regionalen Konflikten lassen vermuten, dass die dahinterstehenden Betreiber Ransomware wegen ihrer Fähigkeit zum Herbeiführen von System- und Netzwerkstörungen eingesetzt haben.

Die Analyse der Apostle-Malware bietet einen seltenen Einblick in die Verwendung von Ransomware als Werkzeug zur offensiven Störung von Systemen und zieht eine klare Grenze zwischen dem, was als Wiper-Malware begann und einer voll funktionsfähigen Ransomware. Aufgrund der technischen Analyse der Tools und der Angriffsinfrastruktur gehen die Forscher davon aus, dass die Angriffe von einer mit dem Iran verbundenen Bedrohungsgruppe durchgeführt wurden. Es wurden zwar einige Verbindungen zu bekannten iranischen Akteuren festgestellt, aber die TTPs und Tools scheinen für die Aktivitäten dieser Gruppe einzigartig zu sein.

https://labs.sentinelone.com/


Artikel zu diesem Thema

eCrime
Mai 27, 2021

Ein Spinnennetz mit ausgeklügelter Struktur

eCrime gehört für Unternehmen inzwischen zu den größten Gefahren überhaupt. Allein 2020…
Steganographie
Mai 19, 2021

Steganographie: So wird Malware in Bilddateien versteckt

Auch Bilddateien können Schadsoftware enthalten. Cyberkriminelle nutzen dafür eine uralte…

Weitere Artikel

Hackerangriff

Hacker nutzen Schwachstellen von Pulse Connect Secure aus

Associated Press veröffentlichte die Nachricht, dass Hacker die Schwachstellen von Pulse Connect Secure ausgenutzt haben, um Verizon und die größte Wasserbehörde der USA sowie die New Yorker U-Bahn anzugreifen.
Phishing

Fax- und Scan-Phishing-Attacken nehmen zu

Dank der weltweiten Impferfolge und der sich langsam abschwächenden Fallzahlen kehren immer mehr Mitarbeiter in die ehemals gewohnte Büroumgebung zurück.
Hacker

Neue Welle von Ransom DDoS-Attacken durch Fancy Lazarus

Das Link11 Security Operations Center (LSOC) beobachtet neuerlich eine starke Zunahme von Ransom Distributed Denial of Service (RDDoS bzw RDoS)-Attacken.
Cyber Attacke

Immer wieder Ransomware: Cyberattacken auf kritische Sektoren nehmen zu

Im Jahr 2021 sehen wir weiterhin eine steigende Anzahl von Cyberangriffen auf Unternehmen, Organisationen und Behörden, die quasi wöchentlich in den Schlagzeilen der Medien landen.
Hacker

Plan B der Hacker: Nach dem Angriff ist vor dem Angriff

In den vergangenen Wochen erbeuteten Cyberkriminelle in den aufsehenerregendsten Hackerattacken der vergangenen Jahre mehrere Millionen Dollar.
Social Engineering

Social Engineering-Angriff? Erst Informationen sammeln, dann losschlagen!

Lassen sich Mitarbeitende eines Unternehmens so manipulieren, dass sie Informationen preisgeben, schädliche Links anklicken oder infizierte Anhänge öffnen? Ja, meinen die IT-Sicherheitsexperten der PSW GROUP.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.