DearCry zielt auf Microsoft-Exchange-Lücke

Sophos News

Beitrag teilen

Hafnium Microsoft-Exchange-Hack: Wurde die Ransomware DearCry als Prototyp ins Rennen geschickt? Sophos Experten haben die Ransomware untersucht und Ähnlichkeiten mit WannaCry entdeckt.

Seit dem Bekanntwerden der Microsoft-Exchange-Lücken letzte Woche stehen Cyberattacken im Fokus, die diese Schwachstelle ausnutzen. Allen voran macht sich hier die Ransomware „DearCry“ einen unrühmlichen Namen, die auf den ersten Blick an einen prominenten Vorgänger namens „WannaCry“ erinnert. Die Sophos Labs haben sich die neue Malware einmal genauer angesehen und viele Hinweise darauf gefunden, dass es sich hier um einen noch nicht bekannten Ransomware-Prototyp handeln könnte.

Anzeige

DearCry: Ransomware mit hybriden Ansatz

Zunächst fällt bei der Analyse verschiedener DearCry-Beispiele auf, dass die Ransomware einen hybriden Ansatz zu verfolgen scheint. Die einzige andere den SophosLabs bekannte Ransomware mit diesem Ansatz ist WannaCry, wobei diese sich automatisch verbreitet und nicht wie DearCry von Menschen gehandhabt wird. Die Gemeinsamkeiten sind jedoch verblüffend: Beide erstellen zuerst eine verschlüsselte Kopie der angegriffenen Datei (Copy Encryption) und überschreiben dann die Originaldatei, um eine Wiederherstellung zu verhindern (In Place Encryption). Während die Opfer bei Copy Encryption möglicherweise einige Daten wiederherstellen können, stellt die In Place Encryption sicher, dass eine Wiederherstellung der Daten über Recovery-Tools nicht möglich ist. Berüchtigte, von Menschen betriebene Ransomware-Vertreten wie Ryuk, REvil, BitPaymer, Maze oder Clop verwenden z.B. nur die direkte Verschlüsselung.

DearCry und WannaCry im Vergleich

Es gibt eine Reihe weiterer Ähnlichkeiten zwischen DearCry und WannaCry einschließlich der Namen und des Headers, der den verschlüsselten Dateien hinzugefügt wird. Diese Hinweise bedeuten aber nicht automatisch eine Verbindung zu den WannaCry-Entwicklern, zudem sich die Fähigkeiten von DearCry erheblich von WannaCry unterscheiden. Die neue Ransomware verwendet keinen Befehls- und Kontrollserver, verfügt über einen eingebetteten RSA-Verschlüsselungscode, zeigt keine Benutzeroberfläche mit einem Timer an und verbreitet sich – was am wichtigsten ist – nicht auf andere Computer im Netzwerk.

„Wir haben eine Reihe anderer ungewöhnlicher DearCry-Merkmale gefunden, darunter die Tatsache, dass die Ransomware scheinbar neue Binärdateien für neue Opfer erstellt hat“, so Mark Loman, Director, Engineering Technology Office bei Sophos. „Die Liste der angegriffenen Dateitypen hat sich ebenfalls von Opfer zu Opfer weiterentwickelt. Unsere Analyse zeigt außerdem, dass der Code nicht die Art von Anti-Erkennungsfunktionen enthält, die wir normalerweise von Ransomware erwarten würden, wie z.B. komprimierte Dateien oder Verschleierungstechniken. Diese und andere Anzeichen deuten darauf hin, dass DearCry möglicherweise ein Prototyp ist, der schneller als geplant eingesetzt wurde, um die aktuellen Sicherheitslücken bei Microsoft Exchange Servern auszunutzen.“

Exchange-Patches schnellstmöglich installieren

Auch hier sei noch einmal darauf hingewiesen, dass Unternehmen die aktuellen Microsoft-Patches schnellstmöglich installieren sollten, um die kriminelle Ausnutzung ihres Exchange Servers zu verhindern. Wenn dies nicht möglich ist, sollte der Server vom Internet getrennt oder von einem Rapid Response Team genau überwacht werden. Zudem ist durch das Aufspielen des Patches nicht alle in Butter, sondern eine forensische Untersuchung muss sicherstellen, dass nicht bereits Schadsoftware über die Lücke ins System gekommen ist und auf ihren Einsatz wartet.

Mehr dazu bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

CPS: Neue Malware IOCONTROL zielt auf KRITIS

Experten des Team82 haben eine gegen kritische Infrastruktur gerichtete Malware identifiziert. Die Cyberwaffe IOCONTROL stammt laut den Experten wahrscheinlich von ➡ Weiterlesen

Nordkorea: Cyberspionage bedroht internationale Sicherheit

In den letzten Jahren hat Nordkorea seine Fähigkeiten in der Cyberspionage enorm ausgebaut und gezielte Hackerangriffe auf internationale Unternehmen und ➡ Weiterlesen

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

APT-Gruppe TA397 attackiert Rüstungsunternehmen

Security-Experten haben einen neuen Angriff der APT-Gruppe TA397  – auch unter dem Namen „Bitter“ bekannt – näher analysiert. Start war ➡ Weiterlesen

Security-Breaches bei Firewall-Geräten von Palo Alto Networks

Am 18. November 2024 gab Palo Alto Networks zwei Schwachstellen (CVE-2024-0012 und CVE-2024-9474) in Palo Alto Networks OS (PAN-OS) bekannt. ➡ Weiterlesen

Schwachstellen im Cloud-Management – Zugriff auf 50.000 Geräte 

Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben insgesamt zehn Schwachstellen in der Reyee-Cloud-Management-Plattform des chinesischen Netzwerkanbieters Ruijie Networks ➡ Weiterlesen

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen