Daten-Schredder in Ransomware entdeckt 

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

Vor kurzem analysierte eine Experte eine Ransomware die der Gruppe BlackCat bzw. ALPHV zugeschrieben wird. Neben interessanten SFTP-Funktionen wurde dort auch eine implementierte Datenvernichtungsfunktion entdeckt. Könnte das ein Hinweis auf die Zukunft der Datenerpressung sein?

Mit Ransomware-as-a-Service (RaaS) und Datenlecks (DLS) erlebt die Datenerpressungslandschaft ständig neue Innovationen von Bedrohungsakteuren sowie Akronyme aus dem Sicherheitsfirmen, die sie verfolgen. In diesem gemeinsamen Bericht untersuchen Cyderes und Stairwell Hinweise auf eine neue Taktik, die im Exfiltrationstool eines BlackCat/ALPHV-Teilnehmers gefunden wurde, das bei einer Untersuchung von Cyderes entdeckt wurde.

Anzeige

Ransomware-Untersuchung bis ins Detail

Nach einem einen Vorfall bei Cyderes fand und analysierte das Team das Tool im Zusammenhang mit einer BlackCat/ALPHV- Ransomware-Untersuchung. Cyderes führte eine erste Bewertung durch und erkannte, dass es sich bei dem Tool um ein Exfiltrationstool mit fest codierten SFTP-Anmeldeinformationen handelt. Anschließend nutzte Cyderes das Inception-Tool von Stairwell für zusätzliche Analysen.

Das Sample wurde auch an das Threat Research Team von Stairwell geliefert, wo bei der Analyse eine teilweise implementierte Datenvernichtungsfunktion entdeckt wurde. Die Verwendung von Datenvernichtung durch Akteure auf Affiliate-Ebene anstelle des Einsatzes von RaaS würde eine große Veränderung in der Landschaft der Datenerpressung markieren und die Balkanisierung von finanziell motivierten Einbruchsakteuren signalisieren, die derzeit unter den Bannern von RaaS-Affiliate-Programmen arbeiten. Eventuell könnte das eine neue Stufe der Erpressung mit Ransomware sein.

Anzeige

Tool wird auch von BlackMatter genutzt

Das untersuchte Sample ist eine ausführbare .NET-Datei, die für die Datenexfiltration mit FTP-, SFTP- und WebDAV-Protokollen entwickelt wurde und Funktionen zum Beschädigen der Dateien auf der Festplatte enthält, die exfiltriert wurden. Das Exfiltrationsverhalten dieses Beispiels stimmt eng mit früheren Berichten von Exmatter überein, einem .NET-Exfiltrationstool das von mindestens einem Tochterunternehmen der BlackMatter -Ransomware-Gruppe verwendet wird. Das Sample wurde von Cyderes im Zusammenhang mit dem Einsatz der Ransomware BlackCat/ALPHV beobachtet, die angeblich von verbundenen Unternehmen zahlreicher Ransomware-Gruppen, einschließlich BlackMatter, betrieben wird. Eine weitergehende technische Untersuchung des Samples Stairwell auf seiner Webseite bereit.

Mehr bei Staiwell.com

 

Passende Artikel zum Thema

Kryptoplattform verweigert Lösegeld und setzt es als Kopfgeld aus 

Die Kryptoplattform Coinbase zum Handel von Kryptowährungen wie Bitcoin und Co. wurde Opfer eines Hacks durch bestechliche Mitarbeiter. Die Erpresser ➡ Weiterlesen

Kampagne der APT-Gruppe UNC5174

Ein Threat Research Team (TRT) hat eine laufende Kampagne der chinesischen APT-Gruppe UNC5174 aufgedeckt, die auf Linux-basierte Systeme in westlichen ➡ Weiterlesen

Nordkoreanische staatlich unterstützte Bedrohungsgruppe

Das Unit 42-Team hat neue Forschungsergebnisse veröffentlicht, die eine ausgeklügelte Kampagne von Slow Pisces (auch bekannt als Jade Sleet, TraderTraitor, ➡ Weiterlesen

Hacker: Bildungsverlag verliert wohl Terabytes an Daten

Pearson, ein weltweit führendes Unternehmen im Bildungsbereich, wurde Opfer eines Cyberangriffs, bei dem Kundendaten kompromittiert wurden. Laut verschiedener Medien sollen ➡ Weiterlesen

KMUs: Ransomware weiterhin Angreifer Nr. 1

Der neue MDR-Report wertet Incident Response Vorfälle bei KMUs - mittelständischen Unternehmen 2024 aus und zeigt, dass Angriffe mit Ransomware ➡ Weiterlesen

Nordkoreanische APT-Gruppe nutzt russische Internet-Infrastruktur

Eine neue Experten-Analyse zur nordkoreanischen APT-Gruppe Void Dokkaebi. Die Untersuchung zeigt, wie die Gruppe gezielt russische Internet-Infrastruktur nutzt, um Krypto-Diebstähle ➡ Weiterlesen

Fehlerhafte ASUS-Software lässt Malware-Installationen zu 

Die vorinstallierte ASUS DriverHub-Software weist eine kritische Sicherheitslücke auf, die Angreifern Remote-Code-Ausführung von Malware ermöglicht. Durch die fehlerhafte Prüfung von ➡ Weiterlesen

Play-Ransomware nutzt Windows Zero-Day-Schwachstelle 

Die Ransomware-Gruppe Play und verbündete Gruppen nutzen laut Symantec einen Exploit der auf die Zero-Day-Sicherheitslücke CVE-2025-29824 abzielt. Die Schwachstelle wurde ➡ Weiterlesen