Eset warnt vor Spamwelle mit Ransomware Shade

  • TIPP

  • mad.de
  • 1272 Aufrufe 1 Antwort

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Eset warnt vor Spamwelle mit Ransomware Shade

    Die Verbreitung erfolgt über eine bösartige JavaScript-Datei in einem angehängten ZIP-Archiv. An Wochenenden abfallende Erkennungsraten sprechen für eine auf Unternehmen zielende Kampagne. Die Welle schwappt von Russland aus nach Deutschland.

    Eset hat eine Malware-Kampagne beobachtet, mit der die 2014 erstmals entdeckte und seither sporadische auftauchende Malware Shade erneut für Schadensfälle sorgt. Die Verbreitung erfolgt über Spam-Mails mit einem angehängten ZIP-Archiv. Die Erkennungsraten weisen Einbrüche an den Wochenenden aus – was für eine vor allem auf Unternehmen ausgerichtete Kampagne spricht. Die Kampagne begann schon im Oktober, legte zum Jahresende hin eine Pause ein und setzte im Januar mit doppeltem Volumen zu einem Neustart an.

    „Eset-Telemetriedaten zeigen, dass die Angriffe exakt zu den Zeitpunkten pausieren, an denen Unternehmen ihre Arbeit reduzieren“, kommentiert Sicherheitsspezialist Thomas Uhlemann von Eset. „Das war zum einen die Weihnachtszeit und zum anderen sind es die Wochenenden in der aktuellen Kampagne.“.

    Die Kampagne konzentriert sich vor allem auf den russischen Raum mit 52 Prozent der Erkennungen, schwappt aber laut Eset auch auf Deutschland über. Weitere betroffene Länder sind demnach die Ukraine, Frankreich und Japan. Die potentiellen Opfer erhalten Mails in russischer Sprache und geben vor, von legitimen russischen Unternehmen zu stammen und über eine Bestellung zu informieren. Absender scheinen etwa die russische Bank B&N oder die Handelskette Magnit zu sein.

    Die Sicherheitsforscher ordnen die Kampagne als Teil eines übergeordneten Trends ein, mit dem schädliche JavaScript-Dateien als Angriffsvektor ein Comeback feiern. Die angehängten Archive mit Bezeichnungen wie „info.zip“ oder „inf.zip“ enthalten eine JavaScript-Datei. Deren Ausführung sorgt für das Herunterladen eines bösartigen Loaders von WordPress-Sites, die zuvor durch automatisierte Brute-Force-Attacken kompromittiert wurden. Dort verbirgt sich die Malware in Bilddateien, die alle auf „ssj.jpg“ enden – die Telemetrie von Eset fand Hunderte von ihnen.

    Der Malware-Loader ist mit einem ungültigen und scheinbar von Comodo stammenden Zertifikat signiert. Um sich zu tarnen, kopiert er sich außerdem in einen versteckten Ordner und gibt sich als legitimer Windows-Systemprozess „csrss.exe“ aus – mit von Windows Server 2012 R2 kopierten Versionsdetails. Die letztendlich ausgeführte Ransomware Shade – auch als Troldesh bekannt – verschlüsselt eine Vielzahl von Dateitypen auf dem Laufwerk und versieht sie mit einer Endung wie „crypted000007“. Ein Erpressungsschreiben mit Instruktionen für ihre Opfer in Russisch und Englisch legen die Cyberkriminellen als Textdatei auf allen zugänglichen Laufwerken ab.

    Quelle: Eset warnt vor Spamwelle mit Ransomware Shade | ZDNet.de

  • Ransomware 01.05.2020, 13:33 Uhr
    Hackergruppe gibt auf und veröffentlicht Schlüssel
    Eine russische Hackergruppe, die hinter der Verbreitung der Ransomware Shade steht, hat offenbar die Segel gestrichen und hunderttausende Schlüssel veröffentlicht.

    Es dürfte selten vorkommen: Aber manchmal beschleicht auch Hacker so etwas wie Reue oder ein schlechtes Gewissen und sie geben ihre schwarzen Hüte an der Garderobe ab. Zumindest muss das wohl bei jener russischen Hackergruppe der Fall sein, die hinter der Ransomware Shade (auch als Troldesh oder Encoder bekannt) steckt.

    Denn die Cyberkriminellen haben verlauten lassen, dass sie bereits Ende 2019 ihr wüstes Treiben aufgegeben haben, und über 750'000 Schlüssel zur Decodierung verschlüsselter Rechner und Festplatten veröffentlicht. Daneben publizierten sie eine Entschlüsselungssoftware und eine Anleitung zur Dechiffrierung der von der Erpresser-Software betroffenen Systeme.

    Hacker entschuldigen sich

    Schliesslich entschuldigten die Cyberkriminellen sich bei den Opfern für den Schaden, den sie diesen zugefügt haben. «Wir entschuldigen uns bei allen Opfern des Trojaners und hoffen, dass die von uns veröffentlichten Schlüssel ihnen helfen, ihre Daten wiederherzustellen», heisst es im Begleittext der Hacker auf GitHub.

    Die Shade-Ransomware wurde seit 2014 in Umlauf gebracht. Tatsächlich sei die Verbreitung Ende 2019 abgeflacht, wie Michael Gillespie, Betreiber von «ID Ransomware», einer Site zur Identifikation von Erpresserprogrammen, gegenüber BleepingComputer bestätigt.

    Die Shade-Betreiber hatten es mit ihrer Ransomware hauptsächlich auf PC-Besitzer in Russland und der Ukraine abgesehen. Dadurch unterscheiden sie sich offenbar von vielen anderen russischen Hackergruppen, die meist im Ausland ihr Unwesen treiben und ihre Landsleute in Ruhe lassen.

    Autor(in)
    Jens Star


    Quelle: Hackergruppe gibt auf und veröffentlicht Schlüssel - pctipp.ch