Neue Ransomware und selbstreplizierender Wurm entdeckt

B2B Cyber Security ShortNews

Beitrag teilen

Unit 42, das Forschungsteam von Palo Alto Networks, hat einen Forschungsbericht zu einem neuen Peer-to-Peer (P2P)-Wurm veröffentlicht, der die Cloud ins Visier nimmt und den Namen P2PInfect erhielt. Dieser Wurm zielt auf verwundbare Redis-Systeme mit containerwirksamen Exploits. Zeitgleich hat Unit 42 auch einen Bericht über die Ransomware Mallox veröffentlicht. Die Forscher beobachteten einen Anstieg der Aktivitäten um fast 50 Prozent, wobei MS-SQL-Server zur Verbreitung der Ransomware ausgenutzt wurden.

Am 11. Juli 2023 entdeckten die Cloud-Forscher von Unit 42 einen neuen Peer-to-Peer (P2P)-Wurm, den sie P2PInfect nannten. Dieser – in der hoch skalierbaren und Cloud-freundlichen Programmiersprache Rust geschriebene – Wurm ist in der Lage, sich plattformübergreifend zu infizieren. Er zielt auf Redis ab, eine beliebte Open-Source-Datenbankanwendung, die in Cloud-Umgebungen häufig zum Einsatz kommt.

Anzeige

P2PInfect – ein selbstreplizierender Peer-to-Peer-Wurm

Redis-Instanzen können sowohl auf Linux- als auch auf Windows-Betriebssystemen ausgeführt werden. Die Forscher von Unit 42 haben über 307.000 Redis-Systeme identifiziert, die in den letzten zwei Wochen öffentlich kommuniziert haben, von denen 934 möglicherweise für diese P2P-Wurmvariante anfällig sind. Auch wenn nicht alle der 307.000 Redis-Instanzen anfällig sind, wird der Wurm dennoch diese Systeme angreifen und versuchen, sie zu kompromittieren.

Der P2PInfect-Wurm infiziert anfällige Redis-Instanzen, indem er die Lua-Sandbox-Escape-Schwachstelle (CVE-2022-0543) ausnutzt. Dies macht den P2PInfect-Wurm effektiver für den Betrieb und die Verbreitung in Cloud-Container-Umgebungen. Hier entdeckten die Forscher von Unit 42 den Wurm, indem er eine Redis-Container-Instanz in ihrer HoneyCloud-Umgebung kompromittierte.

Wurm attackiert Redis-Container in Honey-Pot

Dabei handelt es sich um eine Reihe von Honeypots, die dazu dienen, neuartige Cloud-basierte Angriffe in Public-Cloud-Umgebungen zu identifizieren und zu untersuchen. Die Schwachstelle wurde zwar 2022 bekannt gegeben, ihr Umfang ist aber noch nicht vollständig bekannt. Sie ist jedoch in der NIST National Vulnerability Database mit einem kritischen CVSS-Wert von 10,0 eingestuft. Die Tatsache, dass P2PInfect Redis-Server ausnutzt, die sowohl auf Linux- als auch auf Windows-Betriebssystemen laufen, macht ihn außerdem skalierbarer und effektiver als andere Würmer. Der von den Forschern beobachtete P2P-Wurm dient als Beispiel für einen ernsthaften Angriff, der unter Ausnutzung dieser Schwachstelle möglich wäre.

Mallox Ransomware: Deutlicher Anstieg der Aktivitäten

🔎 Aufzeichnung einer Mallox-Attacke durch eine XDR-Lösung (Bild: Palo Alto Networks).

Mallox, auch bekannt als TargetCompany, Fargo und Tohnichi, ist ein Ransomware-Stamm, der auf Microsoft (MS) Windows-Systeme abzielt. Er ist seit Juni 2021 aktiv und zeichnet sich dadurch aus, dass er unsichere MS-SQL-Server als Penetrationsvektor ausnutzt, um die Netzwerke der Opfer zu kompromittieren.

In jüngster Zeit haben die Forscher von Unit 42 einen Anstieg der Mallox-Ransomware-Aktivitäten beobachtet. Seit Anfang 2023 haben die Aktivitäten von Mallox ständig zugenommen. Den Telemetriedaten und Daten aus offenen Informationsquellen zufolge ist die Zahl der Mallox-Angriffe im Jahr 2023 im Vergleich zu 2022 um 174 Prozent gestiegen. Die Mallox-Ransomware-Gruppe beansprucht Hunderte von Opfern für sich. Die tatsächliche Zahl der Opfer ist zwar nicht bekannt, aber die Telemetriedaten von Unit 42 deuten auf Dutzende von potenziellen Opfern weltweit hin, die sich auf verschiedene Branchen verteilen, darunter die verarbeitende Industrie, freiberufliche und juristische Dienstleistungen sowie der Groß- und Einzelhandel.

Mallox nutzt doppelte Erpressung

Mallox Ransomware folgt wie viele andere Ransomware-Gruppen dem Trend der doppelten Erpressung: Die Angreifer stehlen Daten, verschlüsseln die Dateien und drohen damit, die gestohlenen Daten auf einer Leak-Website zu veröffentlichen, um die Opfer zur Zahlung des Lösegelds zu bewegen. Jedes Opfer erhält einen privaten Schlüssel, um via Tor-Browser mit der Gruppe zu kommunizieren und die Bedingungen und die Zahlung auszuhandeln.

Die Forscher empfehlen den Einsatz einer XDR/EDR-Lösung, um eine In-Memory-Inspektion durchzuführen und Techniken zur Prozessinjektion zu erkennen. Mittels einer Bedrohungssuche können Unternehmen nach Anzeichen für ungewöhnliches Verhalten im Zusammenhang mit der Umgehung von Sicherheitsprodukten, Dienstkonten für laterale Bewegungen und Benutzerverhalten im Zusammenhang mit Domainadministratoren suchen.

Mehr bei PaloAltoNetworks.com

 


Über Palo Alto Networks

Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.


 

Passende Artikel zum Thema

Cyberkriminelle missbrauchen DeepSeek für Betrugsmaschen

Mit dem Fortschritt künstlicher Intelligenz entwickeln sich auch die Methoden von Cyberkriminellen weiter. Der jüngste Anstieg KI-gestützter Betrugsmaschen rund um ➡ Weiterlesen

Warnung vor chinesischer Ransomware-Bande Ghost

Die US-amerikanischen Behörden CISA, FBI und das Multi-State Information Sharing and Analysis Center (MS-ISAC) haben gemeinsam eine Analyse der Aktivitäten ➡ Weiterlesen

Cyberattacken gegen das Landesdatennet in Thüringen

Das Landesdatennetz in Thüringen muss vielfältige digitale Angriffe abwehren. Teilweise gab es im vergangenen Jahr gezielte Attacken auf Systeme der ➡ Weiterlesen

PlushDaemon: Neue chinesische APT-Gruppe entdeckt

Die chinesische APT-Hackergruppe PlushDaemon greift sowohl Unternehmen als auch Privatnutzer auf der ganzen Welt an. Mit dem Backdoor "Slow Stepper" ➡ Weiterlesen

Phishing: Neue Attacken über kompromittierte Reisebüro-Konten

Aktuell nutzen Cyberkriminelle die Konten einer bekannten Reiseagentur, um Phishing-Mails in Umlauf zu bringen und auf diese Weise Schadsoftware zu ➡ Weiterlesen

Deutsche Unternehmensnetzwerke von Angriffen bedroht

Laut einer aktuellen IT-Sicherheitsstudie ist das Unternehmensnetzwerk jeder zweiten deutschen Organisation Ziel von Cyberangriffen. Bei rund 40 Prozent von ihnen ➡ Weiterlesen

Cyberangriff auf Staatsregierung und Polizei

Nach Informationen des BR kam es zu einem stundenlangen Cyberangriff auf Webseiten von Staatsregierung und Polizei. Das Landesamt für Sicherheit ➡ Weiterlesen

Cyberangriff auf Bundeswehr-Universität

Die Universität der Bundeswehr München ist zum Ziel einer Cyberattacke geworden. Bei dem Vorfall sind potenziell zahlreiche Datensätze von Studenten ➡ Weiterlesen