Kaspersky-Forscher haben eine neue Ransomware-Gruppe identifiziert, die den Trend zur Nutzung plattformübergreifender Funktionalitäten weiter unterstreicht. Die Gruppe Luna verwendet eine in Rust geschriebene Ransomware. Sie ermöglicht es, Malware in einfacher Weise von einem Betriebssystem auf ein anderes zu adaptieren.
Luna setzt Malware ein, die in Rust geschrieben wurde, und kann dadurch Windows-, Linux- sowie ESXi-Systeme auf einmal angreifen. In der von Kaspersky entdeckten Anzeige im Dark Web heißt es, dass Luna nur mit russischsprachigen Partnern zusammenarbeitet. Darüber hinaus enthält die in der Binärdatei fest einkodierte Lösegeldforderung einige Rechtschreibfehler, was darauf schließen lässt, dass die Gruppe möglicherweise russischsprachig ist. Da es sich bei Luna um eine neu entdeckte Gruppe handelt, gibt es noch wenig Daten über ihre Viktimologie – Kaspersky verfolgt jedoch aktiv die Aktivitäten von Luna.
Eine Ransomware für viele Plattformen
Die Entdeckung von Luna unterstreicht den jüngsten Trend zu plattformübergreifender Ransomware; Sprachen wie Golang und Rust wurden bereits im vergangenen Jahr von modernen Ransomware-Banden in großem Umfang eingesetzt. Dazu gehören unter anderem BlackCat und Hive, wobei letztere sowohl Go als auch Rust verwenden. Diese Programmiersprachen sind plattformunabhängig, so dass die mit ihnen geschriebene Ransomware leicht auf weitere Plattformen übertragen werden kann. Die Angriffe können dadurch auf mehrere Betriebssysteme gleichzeitig gerichtet werden.
Neue Ransomware-Variante von Akteur Black Basta
Eine weitere, kürzlich von Kaspersky durchgeführte Untersuchung gibt einen tieferen Einblick in die Aktivitäten des Ransomware-Akteurs Black Basta. Diese Gruppe führt eine neue, in C++ geschriebene Ransomware-Variante aus, die erstmals im Februar 2022 entdeckt wurde. Seitdem ist es Black Basta gelungen, mehr als 40 Opfer anzugreifen – hauptsächlich in den Vereinigten Staaten, Europa und Asien.
Wie die Untersuchungen von Kaspersky zeigen, zielen sowohl Luna als auch Black Basta auf ESXi-Systeme sowie Windows und Linux ab – ein weiterer Ransomware-Trend des Jahres 2022. ESXi ist ein Hypervisor, der unabhängig von anderen Betriebssystemen verwendet werden kann. Da viele Unternehmen virtuelle Maschinen auf ESXi-Basis nutzen, ist es für die Angreifer einfacher geworden, die Daten ihrer Opfer zu verschlüsseln.
„Die Trends, die wir Anfang des Jahres skizziert haben, scheinen sich zu verstärken“, betont Jornt van der Wiel, Sicherheitsexperte bei Kaspersky. „Wir beobachten, dass immer mehr cyberkriminelle Banden plattformübergreifende Sprachen für die Entwicklung ihrer Ransomware verwenden. Damit können sie ihre Malware auf einer Vielzahl von Betriebssystemen einsetzen. Die zunehmenden Angriffe auf virtuelle ESXi-Maschinen sind alarmierend. Wir erwarten, dass immer mehr Ransomware-Familien auf diese Strategie zurückgreifen werden.“
Mehr bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/