„Eine einzelne Spear-Phishing-E-Mail mit einer leicht veränderten Malware kann mehrere Millionen Dollar teure Unternehmenssicherheitslösungen umgehen, wenn ein Angreifer einen cyberhygienisch apathischen Mitarbeiter dazu verleitet, den Anhang zu öffnen oder auf einen bösartigen Link zu klicken und dadurch das gesamte Netzwerk zu gefährden.“ .“
James Scott, Senior Fellow, Institute for Critical Infrastructure Technology
Letzte Woche zielte eine Ransomware namens Defray auf eine ausgewählte Gruppe von Eliteorganisationen und forderte 5.000 US-Dollar bei einer Infektion. Dabei handelt es sich um einen in C++ geschriebenen Datei-Encoder-Trojaner, der einen fortschrittlichen kryptografischen Algorithmus verwendet.
Muss gelesen werden: Verschiedene Möglichkeiten, Ihren PC vor Ransomware zu schützen
Der Name Defray basiert auf dem Command-and-Control-Server-Host im ersten verfolgten Angriff: „defrayable-listings“.
Sie ist auch unter einem anderen Namen Glushkov Ransomware bekannt. Der Name könnte als Verweis auf die E-Mail-Konten „[email protected]“, „glushkov®tutanota.de“ und „[email protected]“ verwendet werden, die zur Verbreitung der Bedrohung und zur Kontaktaufnahme mit dem Hacker verwendet werden.
Es verteilte zwei kleine und selektive Angriffe und gilt als große Krypto-Bedrohung. Die Bedrohung wird mit den Petya- und WannaCry-Stämmen verglichen.
Berichten zufolge zielt die Bedrohung hauptsächlich auf Netzwerke von Krankenhäusern und Bildungseinrichtungen ab und verschlüsselt Daten.
Die ersten Angriffe zielten darauf ab Gesundheits- und Bildungsorganisationen, während die anderen auf Fertigungs- und Technologieeinrichtungen abzielten.
Wie verbreitet es sich?
Img src: gbhackers
Das zur Verbreitung der Malware verwendete Installationsprogramm verwendet ein Word-Dokument, das einen eingebetteten ausführbaren Videoclip (O LE Packager-Shell-Objekt) enthält.
Wenn der Empfänger versucht, den eingebetteten abzuspielen Video, bei dem es sich um ein Bild handelt, wird Defray Ransomware installiert und aktiviert. Nach der Installation beginnt es mit der Verschlüsselung der Daten und zeigt dann einen Lösegeldschein an, in dem es heißt, dass man Lösegeld zahlen muss, um wieder Zugang zu erhalten.
Phishing-E-Mails und gezielte Spear-Phishing-E-Mails werden verwendet, um Büroangestellte anzulocken, und diese werden dann dazu gezwungen Lesen Sie das infizierte Dokument. E-Mails richten sich an Einzelpersonen oder Gruppen und bestehen aus Nachrichten, die speziell darauf ausgelegt sind, die Zielgruppe anzulocken.
Die Kampagne fand erstmals am 15. August statt und richtete sich an Fachleute aus der Fertigung und Technologie. Als Fortsetzung fand am 22. August eine weitere Kampagne statt s wurden gestartet und gefälschte E-Mails an Gesundheits- und Bildungsorganisationen gesendet. Diese E-Mail enthielt einen Patientenbericht eines angeblichen Direktors für Informationsmanagement und Technologie in einem Krankenhaus.
Img src: Proofpoint
Diese gefälschten E-Mails laden die Malware offen ein und sie wird auf Computern installiert. Es ist, als würde man einen Vampir in Ihrem Haus willkommen heißen und ihm dann erlauben, Ihr Blut zu trinken.
Muss gelesen werden: Gebote und Verbote beim Umgang mit Ransomware
Nach all dem erscheint ein Lösegeldschein auf Ihrem Desktop und das Opfer wird aufgefordert, 5.000 US-Dollar in Form von Bitcoins zu zahlen.
Der Lösegeldschein befindet sich in zwei Dateien namens „Files.TXT“ und „HELP“. TXXR‘ und kommt zu dem Schluss:
„Dies ist eine individuell entwickelte Ransomware, der Entschlüsseler wird nicht von einem Antivirenunternehmen hergestellt.“ Dieser hat nicht einmal einen Namen. Es verwendet AES-256 zum Verschlüsseln von Dateien, RSA-2048 zum Speichern des verschlüsselten AES-256-Passworts und SHA-2 zur Wahrung der Integrität der verschlüsselten Datei. Es ist in C++ geschrieben und hat viele Qualitätssicherungstests bestanden. Um dies beim nächsten Mal zu verhindern, verwenden Sie Offline-Backups.“
Quelle: tripwire
Defray Ransomware verschlüsselt Dateien mit den folgenden Erweiterungen:
.001, .3ds, .7zip, .MDF, .NRG, .PBF, .SQLITE, .SQLITE2, .SQLITE3, .SQLITEDB, .SVG, .UIF, .WMF, .abr, .accdb, .afi, .arw , .asm, .bkf, .c4d, .cab, .cbm, .cbu, .class, .cls, .cpp, .cr2, .crw, .csh, .csv, .dat, .dbx, .dcr, . dgn, .djvu, .dng, .doc, .docm, .docx, .dwfx, .dwg, .dxf, .exe, .fla, .fpx, .gdb, .gho, .ghs, .hdd, .html, .iso, .iv2i, .java, .key, .lcf, .lnk, .matlab, .max, .mdb, .mdi, .mrbak, .mrimg, .mrw, .nef, .odg, .ofx, .orf , .ova, .ovf, .pbd, .pcd, .pdf, .php, .pps, .ppsx, .ppt, .pptx, .pqi, .prn, .psb, .psd, .pst, .ptx, . pvm, .pzl, .qfx, .qif, .r00, .raf, .rar, .raw, .reg, .rw2, .s3db, .skp, .spf, .spi, .sql, .sqlite-journal, . stl, .sup, .swift, .tib, .txf, .u3d, .v2i, .vcd, .vcf, .vdi, .vhd, .vmdk, .vmem, .vmwarevm, .vmx, .vsdx, .wallet, .win, .xls, .xlsm, .xlsx, .zip.
Quelle: enigmasoftware
Nächste Lektüre: Locky Ransomware „Zurück von den Toten“
All diese Ransomware-Angriffe sind ein Alarmsignal, das Sie schützen und auf dem Laufenden halten sollten. Wir sollten es vermeiden, E-Mails zu öffnen, die von anonymen Quellen stammen oder bei denen wir uns nicht sicher sind. Wir sollten nicht alle Anhänge öffnen, die wir in einer E-Mail erhalten. Auch aus Sicherheitsgründen sollte ein aktualisiertes Antivirenprogramm auf Ihrem Computer installiert sein Maschine.
Lesen: 0
