AvosLocker-Ransomware
Forscher von Infosec entdeckten eine neue Ransomware-Operation, die sie AvosLocker nannten. Die Hackergruppe scheint um den Juni 2021 aktiv geworden zu sein und hat es in nur wenigen Monaten geschafft, mehrere Opfer zu fassen. Die Cyberkriminellen veröffentlichen die Namen ihrer Opfer auf einer speziellen Leak-Site, die im Tor-Netzwerk gehostet wird. Die Site enthält zwei Abschnitte - "Ankündigungen des öffentlichen Dienstes" und "Leaks". Alle verletzten Unternehmen werden zusammen mit dem Nachweis der von ihnen gesammelten Daten auf der Seite "Öffentliche Dienstankündigung" angezeigt. Die AvosLocker-Gruppe verwendet Spam-E-Mail-Kampagnen, die Köder-E-Mails verbreiten, sowie beschädigte Werbung als erste Infektionsvektoren für die Verbreitung der Ransomware-Bedrohung.
Details zu AvosLocker Ransomware
Die bereitgestellte Ransomware-Bedrohung ist in C++ geschrieben und verwendet eine angepasste Version des kryptografischen AES-256-Algorithmus, um die auf den angegriffenen Systemen gespeicherten Dateien zu sperren. Die Malware wurde entwickelt, um Windows-Computer zu infizieren und wird nicht auf anderen Plattformen ausgeführt. Als Teil ihrer bedrohlichen Fähigkeiten kann die AvosLocker Ransomware die Volumeschattenkopien der betroffenen Dateien löschen sowie bestimmte Anwendungen beenden, die den Verschlüsselungsprozess stören könnten. Beim Verschlüsseln einer Datei hängt AvosLocker '.avos' als neue Erweiterung an den ursprünglichen Namen dieser Datei an. Wie die meisten Bedrohungen dieser Art liefert auch die AvosLocker Ransomware eine Lösegeldforderung mit Anweisungen für ihre Opfer. Die Nachricht wird als Textdatei namens "GET_YOUR_FILES_BACK.txt" abgelegt.
Forderungen von AvosLocker
Wie sich herausstellt, enthält die Lösegeldforderung selbst nur wenige nützliche Informationen. Es ermutigt die Opfer der Bedrohung meistens nur, eine TOR-Website zu besuchen, um alle zusätzlichen Anweisungen zu erhalten. Wenn Sie dem bereitgestellten Link folgen und die spezifische Opfer-ID eingeben, gelangen Sie zu einer „Zahlungsseite“. Hier sehen die Opfer einen Countdown-Timer, der die verbleibende Zeit misst, bevor die von den Hackern geforderte Summe verdoppelt wird. Das Lösegeld muss mit der Kryptowährung Monero überwiesen werden.
Vor dem Bezahlen können Opfer jedoch eine Beispieldatei auf die Website hochladen, um die Fähigkeit des Hackers zu testen, die gesperrten Daten zu entschlüsseln. Die Webseite enthält auch einen Support-Chat, über den betroffene Benutzer angeblich die AvosLocker-Hacker kontaktieren können.
Es wird dringend davon abgeraten, einen beliebigen Geldbetrag an Ransomware-Betreiber zu zahlen. Benutzer könnten sich zusätzlichen Sicherheitsrisiken aussetzen und gleichzeitig die nächste bedrohliche Operation der Cyberkriminellen finanzieren.
