Moneybird-Ransomware
Die iranische Hackergruppe Agrius, auch bekannt als Pink Sandstorm und früher Americium, hat kürzlich eine neue Ransomware-Variante namens Moneybird entwickelt. Es wurde beobachtet, dass diese bedrohliche Malware speziell auf israelische Organisationen abzielte, was einen deutlichen Wandel in der Taktik von Agrius bedeutet.
Inhaltsverzeichnis
Cyberkriminelle erweitern ihr Bedrohungsarsenal
Agrius hat in der Vergangenheit zerstörerische Angriffe zur Datenlöschung gegen israelische Unternehmen durchgeführt und diese häufig als Ransomware-Vorfälle getarnt. Die Entstehung von Moneybird, codiert in C++, zeigt die wachsende Expertise und das kontinuierliche Engagement der Gruppe bei der Entwicklung neuer Cyber-Tools.
Die Aktivitäten der Gruppe lassen sich mindestens bis Dezember 2020 zurückverfolgen, als Agrius an der Unterbindung von Einbruchsversuchen gegen Diamantenindustrien in Südafrika, Israel und Hongkong beteiligt war. Zuvor nutzte Agrius eine Wiper-Ransomware namens Apostle, die auf dem .NET-Framework basierte, und deren Nachfolger namens Fantasy. Allerdings stellt Moneybird einen bedeutenden Fortschritt für die Gruppe dar, da es seine sich entwickelnden Cyber-Fähigkeiten durch seine Programmiersprache C++ demonstriert.
Die Bedrohungsakteure nutzen Sicherheitslücken aus, um Zugriff zu erhalten
Die von der Moneybird-Ransomware eingesetzte Angriffsmethode weist ein hohes Maß an Raffinesse auf und beginnt mit der Ausnutzung von Schwachstellen in mit dem Internet verbundenen Webservern. Diese anfängliche Ausnutzung verschafft den Angreifern einen entscheidenden Einstiegspunkt in das Netzwerk der Zielorganisation, der durch den Einsatz einer ASPXSpy-Web-Shell erleichtert wird.
Sobald sie sich im kompromittierten Netzwerk befinden, dient die Web-Shell den Angreifern als Kommunikationskanal, um eine Reihe bekannter Tools auszuführen, die speziell auf die umfassende Erkundung der Umgebung des Opfers zugeschnitten sind. Diese Tools ermöglichen es den Angreifern, sich seitlich im Netzwerk zu bewegen, wertvolle Anmeldeinformationen zu sammeln und sensible Daten herauszufiltern.
Die Moneybird-Ransomware ist mit erweiterten Verschlüsselungsfunktionen ausgestattet
Nach der ersten Infiltrations- und Aufklärungsphase wird die Moneybird-Ransomware auf dem kompromittierten Host aktiviert. Diese Ransomware wurde speziell für die Verschlüsselung vertraulicher Dateien entwickelt, die sich im Ordner „F:\User Shares“ befinden. Bei der Ausführung verschickt die Ransomware einen Lösegeldschein und übt damit enormen Druck auf die Opfer aus, innerhalb von 24 Stunden Kontakt aufzunehmen, und warnt sie vor der möglichen Offenlegung ihrer gestohlenen Daten.
Die Moneybird-Ransomware verwendet eine hochentwickelte Verschlüsselungsmethode, die AES-256 mit GCM (Galois/Counter-Modus) verwendet. Diese fortschrittliche Verschlüsselungstechnik generiert eindeutige Verschlüsselungsschlüssel für jede Datei und hängt am Ende verschlüsselte Metadaten an. Das von Moneybird implementierte präzise Targeting und die robuste Verschlüsselung machen die Aufgabe der Datenwiederherstellung und Dateientschlüsselung in den meisten Fällen äußerst schwierig, wenn nicht sogar unmöglich.
Wichtige Sicherheitsmaßnahmen zum Stoppen eines Ransomware-Angriffs
Es können wirksame Sicherheitsmaßnahmen implementiert werden, um Geräte und Daten vor Ransomware-Angriffen zu schützen. Erstens ist die Aufrechterhaltung aktueller und robuster Sicherheitssoftware unerlässlich. Die regelmäßige Aktualisierung von Anti-Malware-Programmen sowie die Aktivierung automatischer Updates tragen zum Schutz vor den neuesten Bedrohungen bei.
Ein weiterer wichtiger Schritt ist die Implementierung starker und eindeutiger Passwörter für alle Konten. Dazu gehört die Verwendung einer Kombination aus Buchstaben, Zahlen und Symbolen sowie die Vermeidung gängiger und leicht zu erratender Passwörter. Darüber hinaus bietet die Aktivierung der Multi-Faktor-Authentifizierung eine zusätzliche Sicherheitsebene, da für den Zugriff auf Konten zusätzliche Verifizierungsschritte erforderlich sind.
Die regelmäßige Sicherung relevanter Daten ist von entscheidender Bedeutung, um die Auswirkungen eines Ransomware-Angriffs abzumildern. Durch die Erstellung von Offline-Backups oder die Verwendung von Cloud-Speicherlösungen wird sichergestellt, dass kritische Dateien im Falle einer Verschlüsselung oder eines Verlusts wiederhergestellt werden können.
Beim Surfen im Internet und beim Umgang mit E-Mails ist Vorsicht geboten. Benutzer sollten vorsichtig sein, wenn sie auf verdächtige Links klicken oder Dateien von nicht vertrauenswürdigen Quellen herunterladen. Es ist wichtig, wachsam zu sein und den Besuch potenziell schädlicher Websites oder den Umgang mit verdächtigen E-Mails zu vermeiden, da diese möglicherweise Ransomware-Payloads enthalten.
Es ist von großem Nutzen, sich über die neuesten Cybersicherheitsbedrohungen und Angriffstechniken zu informieren und auf dem Laufenden zu bleiben. Das Erkennen gängiger Social-Engineering-Taktiken bei Phishing-Angriffen und die Kenntnis der Anzeichen einer potenziellen Ransomware-Infektion können Benutzern dabei helfen, proaktive Maßnahmen zur Verhinderung und Reaktion auf solche Angriffe zu ergreifen.
Die regelmäßige Aktualisierung von Betriebssystemen, Anwendungen und Firmware ist ein weiterer wichtiger Aspekt für die Aufrechterhaltung hoher Sicherheit. Patches und Updates umfassen häufig Sicherheitsfixes, die Schwachstellen beheben, die von Ransomware und anderer Malware ausgenutzt werden könnten.
Durch die Kombination dieser Sicherheitsmaßnahmen können Benutzer den Schutz ihrer Geräte und Daten vor den verheerenden Auswirkungen von Ransomware-Angriffen verbessern.
