Anzeige

Spyware

Ein neuer Bedrohungsakteur, den SentinelLabs mit dem Namen „Agrius“ bezeichnet, wurde Anfang 2020 bei seinen Aktivitäten in Israel beobachtet.

Eine Analyse dessen, was auf den ersten Blick wie eine Ransomware-Attacke aussah, enthüllte neue Varianten von Wipern (Löschprogramme), die in einer Reihe von destruktiven Angriffen gegen israelische Ziele eingesetzt wurden. Die Betreiber hinter den Angriffen tarnten ihre Aktivitäten absichtlich als Ransomware-Angriffe, welche unter anderem mit dem Wiper DEADWOOD (auch bekannt als Detbosit) durchgeführt wurden.

Agrius ist eine neue Gruppierung, die nach Einschätzung der Forscher wahrscheinlich iranischen Ursprungs ist, und vor allem Spionage- und Störaktivitäten im Nahen Osten durchführt. Die Gruppe nutzt sowohl eigene Technologie als auch öffentlich verfügbare offensive Tools, um eine Vielzahl von Organisationen im Nahen Osten anzugreifen. In einigen Fällen nutzte die Gruppe ihren Zugang, um zerstörerische Wiper-Malware einzusetzen, in anderen Fällen eine maßgeschneiderte Ransomware. In Anbetracht dessen scheint es unwahrscheinlich, dass Agrius ein finanziell motivierter Bedrohungsakteur ist.

 

 

Vom Wiper zur Ransomware

Einer der bei dem Angriff verwendeten Wiper mit dem Namen „Apostle" wurde später in eine voll funktionsfähige Ransomware umgewandelt, die die ursprünglichen Wiper-Funktionen ersetzt. Die im Programm enthaltene Nachricht deutet darauf hin, dass der Angriff auf eine kritische, staatliche Einrichtung in den Vereinigten Arabischen Emiraten gerichtet war. Die Ähnlichkeit mit der Wiper-Version sowie die Art des Ziels im Zusammenhang mit regionalen Konflikten lassen vermuten, dass die dahinterstehenden Betreiber Ransomware wegen ihrer Fähigkeit zum Herbeiführen von System- und Netzwerkstörungen eingesetzt haben.

Die Analyse der Apostle-Malware bietet einen seltenen Einblick in die Verwendung von Ransomware als Werkzeug zur offensiven Störung von Systemen und zieht eine klare Grenze zwischen dem, was als Wiper-Malware begann und einer voll funktionsfähigen Ransomware. Aufgrund der technischen Analyse der Tools und der Angriffsinfrastruktur gehen die Forscher davon aus, dass die Angriffe von einer mit dem Iran verbundenen Bedrohungsgruppe durchgeführt wurden. Es wurden zwar einige Verbindungen zu bekannten iranischen Akteuren festgestellt, aber die TTPs und Tools scheinen für die Aktivitäten dieser Gruppe einzigartig zu sein.

https://labs.sentinelone.com/


Artikel zu diesem Thema

eCrime
Mai 27, 2021

Ein Spinnennetz mit ausgeklügelter Struktur

eCrime gehört für Unternehmen inzwischen zu den größten Gefahren überhaupt. Allein 2020…
Steganographie
Mai 19, 2021

Steganographie: So wird Malware in Bilddateien versteckt

Auch Bilddateien können Schadsoftware enthalten. Cyberkriminelle nutzen dafür eine uralte…

Weitere Artikel

Cyberangriff

Cring-Ransomware nutzt uralte Version von Adobe ColdFusion aus

Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine 11 Jahre alte Software auf einem Server für sich ausnutzte.
Hacker

Hacker zielen verstärkt auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft unerlässlich. Da diese Strukturen hochsensibel sind, stellen sie für Cyberkriminelle ein ganz besonderes Ziel dar und sie unternehmen große…
Ransomware

Die Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu…
Facebook Hacker

Spionagekampagne gegen Kurden durch hinterhältige Facebook-Posts

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888…
Ransomware

Großteil der Unternehmen zweifelt an eigener Ransomware-Resilienz

Anhaltende Cyberbedrohungen und neue Technologien wie Cloud-native Anwendungen, Kubernetes-Container und Künstliche Intelligenz stellen Unternehmen weltweit bei der Datensicherung vor große Herausforderungen. Das zeigt der Dell Technologies 2021 Global Data…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.