Hommy Ransomware

Malware zählt weiterhin zu den größten Cybersicherheitsbedrohungen für Unternehmen und Privatpersonen. Moderne Schadprogramme sind darauf ausgelegt, nicht nur den Betrieb zu stören, sondern auch sensible Daten zu stehlen, Opfer zu erpressen und erhebliche finanzielle Verluste zu verursachen. Insbesondere Ransomware hat sich zu einem äußerst lukrativen kriminellen Geschäft entwickelt, weshalb proaktive Sicherheitsmaßnahmen unerlässlich sind, um wertvolle Daten zu schützen und die Geschäftskontinuität zu gewährleisten. Zu den neuesten Bedrohungen, die von Cybersicherheitsforschern identifiziert wurden, gehört die Hommy-Ransomware, eine gefährliche, dateiverschlüsselnde Malware-Variante, die zur Makop-Ransomware-Familie gehört.

Hommy Ransomware – Übersicht

Hommy ist eine Ransomware, die Dateien auf kompromittierten Systemen verschlüsselt und von den Opfern ein Lösegeld für eine vermeintliche Entschlüsselungslösung fordert. Sicherheitsforscher haben sie als Mitglied der Makop-Ransomware-Familie identifiziert, einer Gruppe, die dafür bekannt ist, Organisationen anzugreifen und doppelte Erpressungstaktiken anzuwenden, die Datenverschlüsselung mit der Drohung der Veröffentlichung von Daten kombinieren.

Sobald Hommy auf dem System eines Opfers ausgeführt wird, sucht und verschlüsselt es zahlreiche Dateitypen und macht sie so unzugänglich. Zusätzlich zur Verschlüsselung der Dateien ändert die Ransomware deren Dateinamen, indem sie eine eindeutige Opferkennung, die Kontakt-E-Mail-Adresse der Angreifer und die Dateiendung „.hommy“ anhängt. Beispielsweise kann eine ursprünglich zugängliche Datei in einen Dateinamen wie „document.docx.[2AF20FA3].[privatehommy@outlook.com].hommy“ umgewandelt werden. Dieses Umbenennungsmuster dient sowohl als Markierung der Infektion als auch als Mittel für die Angreifer, verschlüsselte Dateien einem bestimmten Opfer zuzuordnen.

Neben der Dateiverschlüsselung hinterlässt Hommy eine Lösegeldforderung mit dem Namen '+README-WARNING+.txt' und ändert das Desktop-Hintergrundbild, um sicherzustellen, dass die Opfer sofort von dem Angriff erfahren.

Die Lösegeldforderung verstehen

Die von Hommy verwendete Lösegeldforderung ist kurz und bündig, aber einschüchternd. Die Opfer werden darüber informiert, dass ihre Dateien verschlüsselt und Daten aus der betroffenen Umgebung gestohlen wurden. Die Angreifer behaupten, die Zahlung sei nicht nur notwendig, um den Zugriff auf die verschlüsselten Dateien wiederzuerlangen, sondern auch, um die Veröffentlichung der gestohlenen Informationen zu verhindern.

Die Opfer werden angewiesen, die Angreifer über die E-Mail-Adresse „privatehommy@outlook.com“ zu kontaktieren und ihre zugewiesene Opfer-ID in allen Nachrichten anzugeben. Bemerkenswert ist, dass die Nachricht weder die Höhe des Lösegelds noch die Zahlungsmethode oder eine Frist nennt. Solche Details werden üblicherweise erst nach direkter Kontaktaufnahme mit den Angreifern offengelegt.

Ein weiteres Problem ist das Fehlen jeglichen Beweises dafür, dass die Angreifer über funktionierende Entschlüsselungsmöglichkeiten verfügen. Anders als manche Ransomware-Gruppen, die die Entschlüsselung einer kleinen Beispieldatei als Beweis anbieten, liefern die Betreiber von Hommy in ihrer Nachricht keinerlei derartige Bestätigung.

Taktiken der Dateiverschlüsselung und Datenerpressung

Die von Hommy angewandte Angriffsmethode spiegelt die allgemeinen Trends im Bereich Ransomware wider. Anstatt sich ausschließlich auf Dateiverschlüsselung zu beschränken, integriert die Bedrohung Datendiebstahl in ihre Erpressungsstrategie. Dieser Ansatz erhöht den Druck auf die Opfer erheblich, insbesondere auf Unternehmen, die sensible Kundendaten, geistiges Eigentum oder vertrauliche Unternehmensunterlagen verarbeiten.

Die Kombination aus Verschlüsselung und Datendiebstahl stellt betroffene Organisationen vor große Herausforderungen. Selbst wenn Backups vorhanden sind und eine Wiederherstellung des Betriebs möglich ist, kann das Risiko der Offenlegung sensibler Informationen rechtliche, finanzielle und reputationsbezogene Konsequenzen nach sich ziehen.

Wie viele Ransomware-Familien verwendet auch Hommy starke Verschlüsselungsmechanismen, die es Opfern in der Regel unmöglich machen, Dateien ohne Zugriff auf die Entschlüsselungswerkzeuge der Angreifer wiederherzustellen. Eine Wiederherstellung ohne Beteiligung der Angreifer ist typischerweise nur dann möglich, wenn Forscher kritische Implementierungsfehler in der Ransomware selbst entdecken, was selten vorkommt.

Wie sich Hommy-Ransomware verbreitet

Hommy wird hauptsächlich mit Angriffen auf schlecht gesicherte Remote-Dienste in Verbindung gebracht. Angreifer zielen häufig auf Systeme mit Internetzugang ab, die schwache Anmeldeinformationen verwenden oder unzureichende Sicherheitsvorkehrungen aufweisen. Remote Desktop Protocol (RDP)-Dienste sind besonders attraktive Ziele, da Angreifer Brute-Force-Angriffe durchführen können, um sich unbefugten Zugriff auf Unternehmensnetzwerke zu verschaffen.

Nach dem Erlangen von Zugriff können Angreifer die Ransomware manuell in der gesamten Umgebung verteilen, wodurch der Schaden maximiert und die Wahrscheinlichkeit eines erfolgreichen Erpressungsversuchs erhöht wird.

Weitere Infektionsvektoren, die häufig mit Hommy und verwandten Makop-Ransomware-Varianten in Verbindung gebracht werden, sind:

• Phishing-E-Mails mit schädlichen Anhängen oder Links
• Trojanische Schadsoftware, die zusätzliche Nutzdaten herunterlädt und installiert
• Gefälschte Software-Updates, die Benutzer dazu verleiten sollen, Schadcode auszuführen.
• Raubkopierte Softwarepakete und gecrackte Anwendungen aus nicht vertrauenswürdigen Quellen
• Schädliche Dokumente, Skripte, ausführbare Dateien und komprimierte Archive wie ZIP- oder RAR-Dateien

Diese Dateien mögen harmlos erscheinen, können aber unmittelbar nach dem Öffnen oder Ausführen den Infektionsprozess auslösen.

Warum die Zahlung des Lösegelds eine riskante Entscheidung ist

Cybersicherheitsexperten raten dringend von Lösegeldzahlungen ab. Es gibt keine Garantie, dass die Angreifer nach Zahlungseingang einen funktionierenden Entschlüsselungsschlüssel bereitstellen. Zahlreiche Opfer von Ransomware berichten von Fällen, in denen die Kriminellen nach der Zahlung entweder spurlos verschwanden oder unwirksame Wiederherstellungswerkzeuge lieferten.

Darüber hinaus unterstützt die Zahlung eines Lösegelds direkt kriminelle Machenschaften und trägt zum weiteren Anstieg von Ransomware-Angriffen bei. Organisationen, die mit Angreifern verhandeln, können ebenfalls zu attraktiven zukünftigen Zielen werden, wenn Kriminelle sie als zahlungsbereit einschätzen.

Statt Cyberkriminelle zu finanzieren, sollten betroffene Organisationen sich auf Maßnahmen zur Reaktion auf Sicherheitsvorfälle, forensische Untersuchungen, Eindämmungsmaßnahmen und die Wiederherstellung aus sauberen Backups konzentrieren, wann immer dies möglich ist.

Überlegungen zur Bergung und Entfernung

Die Entfernung der Hommy-Ransomware von einem infizierten Gerät ist unerlässlich, um weitere Verschlüsselungsaktivitäten und eine fortschreitende Gefährdung zu verhindern. Die alleinige Entfernung der Schadsoftware stellt jedoch bereits verschlüsselte Dateien nicht wieder her.

Die zuverlässigste Wiederherstellungsmethode ist nach wie vor die Datenwiederherstellung aus Backups, die vor dem Angriff erstellt wurden. Effektive Backups sollten getrennt von den Produktivsystemen gespeichert werden, beispielsweise auf Offline-Speichergeräten oder sicheren Remote-Backup-Servern, auf die Ransomware nicht ohne Weiteres zugreifen kann.

Organisationen ohne verlässliche Datensicherungen können bei der Wiederherstellung verschlüsselter Daten vor erheblichen Herausforderungen stehen. In solchen Fällen sollten Spezialisten für die Reaktion auf Sicherheitsvorfälle hinzugezogen werden, um die verfügbaren Wiederherstellungsoptionen zu bewerten und das Ausmaß des Vorfalls zu ermitteln.

Stärkung der Abwehr gegen Ransomware

Die Verhinderung von Ransomware-Infektionen erfordert eine mehrstufige Sicherheitsstrategie, die technische Schutzmaßnahmen mit der Sensibilisierung der Nutzer verbindet. Unternehmen sollten der Sicherung von Fernzugriffsdiensten höchste Priorität einräumen, indem sie strenge Passwortrichtlinien durchsetzen, Multi-Faktor-Authentifizierung implementieren und die Zugänglichkeit von Verwaltungsschnittstellen zum öffentlichen Internet einschränken.

Regelmäßige Software-Updates sind ebenso wichtig, da Angreifer häufig bekannte Schwachstellen in veralteten Betriebssystemen und Anwendungen ausnutzen. Umfassende Endpoint-Protection-Lösungen, Netzwerküberwachungstools und Intrusion-Detection-Systeme helfen dabei, schädliche Aktivitäten zu erkennen, bevor sie sich zu einem großflächigen Ransomware-Angriff ausweiten.

Ebenso wichtig ist eine zuverlässige Backup-Strategie. Backups sollten regelmäßig erstellt, auf Integrität geprüft und an von den primären Systemen isolierten Orten gespeichert werden. Ohne verlässliche Backups sind die Wiederherstellungsmöglichkeiten nach einem Angriff deutlich eingeschränkt.

Sicherheitsschulungen spielen ebenfalls eine entscheidende Rolle. Mitarbeiter sollten darin geschult werden, Phishing-Versuche, verdächtige Anhänge, unerwartete Download-Anfragen und andere Social-Engineering-Taktiken, die von Cyberkriminellen häufig eingesetzt werden, zu erkennen. Da viele Ransomware-Infektionen mit der Interaktion von Nutzern beginnen, können geschulte Mitarbeiter eine wirksame erste Verteidigungslinie bilden.

Abschlussbewertung

Hommy-Ransomware stellt eine ernsthafte Bedrohung für die Cybersicherheit dar. Sie kombiniert Dateiverschlüsselung, Datendiebstahl und Erpressungstaktiken, die typisch für die Makop-Ransomware-Familie sind. Durch Angriffe auf schlecht geschützte Systeme und die Nutzung mehrerer Infektionswege kann sie erhebliche Betriebsstörungen und finanzielle Schäden verursachen.

Obwohl die Entfernung der Ransomware notwendig ist, um weitere schädliche Aktivitäten zu verhindern, hängt die Wiederherstellung verschlüsselter Dateien in der Regel von der Verfügbarkeit sicherer Backups ab. Unternehmen können ihr Risiko deutlich reduzieren, indem sie strenge Zugriffskontrollen implementieren, ihre Systeme auf dem neuesten Stand halten, mehrschichtige Sicherheitsvorkehrungen treffen und ihre Nutzer über sich entwickelnde Cyberbedrohungen aufklären. Eine proaktive Sicherheitsstrategie bleibt der wirksamste Schutz vor Ransomware-Angriffen wie Hommy.