Daten-Schredder in Ransomware entdeckt 

B2B Cyber Security ShortNews

Beitrag teilen

Vor kurzem analysierte eine Experte eine Ransomware die der Gruppe BlackCat bzw. ALPHV zugeschrieben wird. Neben interessanten SFTP-Funktionen wurde dort auch eine implementierte Datenvernichtungsfunktion entdeckt. Könnte das ein Hinweis auf die Zukunft der Datenerpressung sein?

Mit Ransomware-as-a-Service (RaaS) und Datenlecks (DLS) erlebt die Datenerpressungslandschaft ständig neue Innovationen von Bedrohungsakteuren sowie Akronyme aus dem Sicherheitsfirmen, die sie verfolgen. In diesem gemeinsamen Bericht untersuchen Cyderes und Stairwell Hinweise auf eine neue Taktik, die im Exfiltrationstool eines BlackCat/ALPHV-Teilnehmers gefunden wurde, das bei einer Untersuchung von Cyderes entdeckt wurde.

Ransomware-Untersuchung bis ins Detail

Nach einem einen Vorfall bei Cyderes fand und analysierte das Team das Tool im Zusammenhang mit einer BlackCat/ALPHV- Ransomware-Untersuchung. Cyderes führte eine erste Bewertung durch und erkannte, dass es sich bei dem Tool um ein Exfiltrationstool mit fest codierten SFTP-Anmeldeinformationen handelt. Anschließend nutzte Cyderes das Inception-Tool von Stairwell für zusätzliche Analysen.

Das Sample wurde auch an das Threat Research Team von Stairwell geliefert, wo bei der Analyse eine teilweise implementierte Datenvernichtungsfunktion entdeckt wurde. Die Verwendung von Datenvernichtung durch Akteure auf Affiliate-Ebene anstelle des Einsatzes von RaaS würde eine große Veränderung in der Landschaft der Datenerpressung markieren und die Balkanisierung von finanziell motivierten Einbruchsakteuren signalisieren, die derzeit unter den Bannern von RaaS-Affiliate-Programmen arbeiten. Eventuell könnte das eine neue Stufe der Erpressung mit Ransomware sein.

Tool wird auch von BlackMatter genutzt

Das untersuchte Sample ist eine ausführbare .NET-Datei, die für die Datenexfiltration mit FTP-, SFTP- und WebDAV-Protokollen entwickelt wurde und Funktionen zum Beschädigen der Dateien auf der Festplatte enthält, die exfiltriert wurden. Das Exfiltrationsverhalten dieses Beispiels stimmt eng mit früheren Berichten von Exmatter überein, einem .NET-Exfiltrationstool das von mindestens einem Tochterunternehmen der BlackMatter -Ransomware-Gruppe verwendet wird. Das Sample wurde von Cyderes im Zusammenhang mit dem Einsatz der Ransomware BlackCat/ALPHV beobachtet, die angeblich von verbundenen Unternehmen zahlreicher Ransomware-Gruppen, einschließlich BlackMatter, betrieben wird. Eine weitergehende technische Untersuchung des Samples Stairwell auf seiner Webseite bereit.

Mehr bei Staiwell.com

 

Passende Artikel zum Thema

Report: 40 Prozent mehr Phishing weltweit

Der aktuelle Spam- und Phishing-Report von Kaspersky für das Jahr 2023 spricht eine eindeutige Sprache: Nutzer in Deutschland sind nach ➡ Weiterlesen

BSI legt Mindeststandard für Webbrowser fest

Das BSI hat den Mindeststandard für Webbrowser für die Verwaltung überarbeitet und in der Version 3.0 veröffentlicht. Daran können sich ➡ Weiterlesen

Tarnkappen-Malware zielt auf europäische Unternehmen

Hacker greifen mit Tarnkappen-Malware viele Unternehmen in ganz Europa an. ESET Forscher haben einen dramatischen Anstieg von sogenannten AceCryptor-Angriffen via ➡ Weiterlesen

IT-Security: Grundlage für LockBit 4.0 entschärft

in Zusammenarbeit mit der britischen National Crime Agency (NCA) analysierte Trend Micro die in der Entwicklung befindliche und unveröffentlichte Version ➡ Weiterlesen

MDR und XDR via Google Workspace

Ob im Cafe, Flughafen-Terminal oder im Homeoffice – Mitarbeitende arbeiten an vielen Orten. Diese Entwicklung bringt aber auch Herausforderungen mit ➡ Weiterlesen

Test: Security-Software für Endpoints und Einzel-PCs

Die letzten Testergebnisse aus dem Labor von AV-TEST zeigen eine sehr gute Leistung von 16 etablierten Schutzlösungen für Windows an ➡ Weiterlesen

KI auf Enterprise Storage bekämpft Ransomware in Echtzeit

Als einer der ersten Anbieter integriert NetApp künstliche Intelligenz (KI) und maschinelles Lernen (ML) direkt in den Primärspeicher, um Ransomware ➡ Weiterlesen

FBI: Internet Crime Report zählt 12,5 Milliarden Dollar Schaden 

Das Internet Crime Complaint Center (IC3) des FBI hat seinen Internet Crime Report 2023 veröffentlicht, der Informationen aus über 880.000 ➡ Weiterlesen