Sophos entdeckt neue Ransomware Memento: sie sperrt Dateien in ein passwortgeschütztes Archiv, wenn sie die Daten nicht verschlüsseln kann. Forensische Analyse der SophosLabs gibt detaillierte Einblicke in das neue Vorgehen.
Sophos hat Details zu einer neuen Ransomware von einer Gruppe namens Memento veröffentlicht. Die Studie „New Ransomware Actor Uses Password Protected Archives to Bypass Encryption Protection“ beschreibt den Angriff, der Dateien in einem kennwortgeschützten Archiv sperrt, wenn die Ransomware Memento die Zieldaten nicht verschlüsseln kann.
Memento hat alternative Angriffsmöglichkeiten
„Von Menschen gesteuerte Ransomware-Angriffe sind selten eindeutig und linear“, sagt Sean Gallagher, Senior Threat Researcher bei Sophos. „Angreifer nutzen Gelegenheiten spontan, wenn sie sie finden oder manchmal unterlaufen ihnen auch Fehler. Dann ändern sie ihre Taktik ‘on-the-fly’, denn wenn es ihnen gelingt, in das Netzwerk eines Ziels einzudringen, wollen sie auf keinen Fall mit leeren Händen dastehen.
Der Memento-Angriff ist ein gutes Beispiel dafür und erinnert uns daran, dass es wichtig ist, für Sicherheit auf allen Ebenen zu sorgen. Denn in diesem Fall haben die Angreifer nach einer durch ein Sicherheitsprogramm unterbundenen Datenverschlüsselung einen anderen Weg gefunden, ihr Ziel zu erreichen. Die Fähigkeit, Ransomware und Verschlüsselungsversuche zu erkennen und zu unterbinden, ist von entscheidender Bedeutung, aber es ist auch wichtig, über Sicherheitstechnologien zu verfügen, die vor anderen, Aktivitäten, wie zum Beispiel unerwartete Bewegungen und Aktivitäten im Netzwerk warnen können.“
SophosLabs zeichnet Langzeit-Protokoll der Memento-Attacke auf
- Mitte April 2021 – Es geht los. Eindringen ins Netzwerk
- 20. Oktober 2021 – WinRAR kommt zum Einsatz
- 23. Oktober 2021 – Roll-out der Ransomware und Plan B
Für die Wiederherstellung der Dateien forderten die Cyberkriminellen nun ein Lösegeld in Höhe von einer Million Dollar in Bitcoin. Glücklicherweise konnte das attackierte Unternehmen die Daten ohne die Beteiligung der Cyberkriminellen wiederherstellen.
- 18.Mai, 8. September, 3. Oktober – Neue Eindringline und Kryptominer
„Wir haben das schon oft erlebt: Wenn Sicherheitslücken im Internet bekannt und nicht gepatcht werden, nutzen Angreifer sie schnell aus und so tummeln sich plötzlich verschiedene Hackergruppen im selben Netzwerk. Je länger die Schwachstellen nicht behoben werden, desto mehr Angreifer werden auf sie aufmerksam”, so Gallagher.
Wichtig für die IT-Sicherheit – einige Hinweise
Dieser Vorfall, bei dem mehrere Angreifende einen einzigen ungepatchten, dem Internet ausgesetzten Server ausnutzten, zeigt einmal mehr, wie wichtig es ist, Patches schnell zu installieren und sich bei Drittanbietern, Vertragsentwicklern oder Dienstleistern über die Sicherheit ihrer Software zu informieren. Weitere Informationen finden Sie in dem Report über Memento Ransomware in den SophosLabs Uncut.
Mehr bei Sophos.com
Über Sophos Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.