Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Ransomware Run (Makop) Ransomware

Run (Makop) Ransomware

Von Mezo in Ransomware
Übersetzen Sie in:

Der Schutz digitaler Umgebungen vor Schadsoftware ist zu einer zentralen Aufgabe für Privatpersonen und Unternehmen geworden. Moderne Ransomware-Angriffe sind keine bloßen Gelegenheitsangriffe mehr, sondern kalkulierte, mehrstufige Attacken, die darauf abzielen, sensible Informationen zu verschlüsseln, zu erpressen und öffentlich zu machen. Eine dieser raffinierten Bedrohungen, die derzeit von Sicherheitsforschern beobachtet wird, ist Run Ransomware, eine bösartige Variante, die die sich stetig weiterentwickelnden Taktiken moderner Cyberkrimineller verdeutlicht.

Run-Ransomware: Eine Makop-Familienvariante

Sicherheitsanalysten haben Run Ransomware als Mitglied der Makop-Ransomware-Familie identifiziert, einer bekannten Gruppe von Malware-Varianten, die Dateien verschlüsseln und mit aggressiven Erpressungsmethoden in Verbindung gebracht werden. Die Bedrohung wurde im Rahmen einer umfassenderen Untersuchung aktiver und neu auftretender Ransomware-Kampagnen aufgedeckt.

Nach der Ausführung durchführt die Run-Ransomware einen systematischen Verschlüsselungsprozess, der alle Benutzerdateien im infizierten System betrifft. Nach der Verschlüsselung der Daten werden die Dateinamen um drei Elemente ergänzt: eine eindeutige Opfer-ID, eine Kontakt-E-Mail-Adresse und die Dateiendung „.run“. Beispielsweise wird aus einer Datei wie „1.png“ die Datei „1.png.[2AF20FA3].[runandpay@outlook.com].run“. Diese Umbenennung dient sowohl als Erkennungsmerkmal der Kompromittierung als auch als psychologische Drucktaktik, da die Infektion sofort sichtbar wird.

Zusätzlich zur Dateiverschlüsselung ändert die Ransomware das Systemhintergrundbild, um die Angriffsbotschaft zu verstärken, und hinterlässt eine Lösegeldforderung mit dem Titel „+README-WARNING+.txt“. Diese Maßnahmen sollen sicherstellen, dass das Opfer den Eindringling nicht ignorieren kann.

Erpressungstaktiken und psychischer Druck

Die Lösegeldforderung enthält eine klare und erpresserische Botschaft. Darin wird behauptet, der Computer des Opfers sei gesperrt, Dateien verschlüsselt und sensible Daten gestohlen worden. Diese Kombination aus Verschlüsselung und Datenexfiltration deutet auf eine doppelte Erpressungsstrategie hin, eine Technik, die von modernen Ransomware-Betreibern zunehmend eingesetzt wird.

Die Opfer werden angewiesen, die Angreifer über die angegebene E-Mail-Adresse „runandpay@outlook.com“ zu kontaktieren und ihre eindeutige ID anzugeben. In der Nachricht wird die Dringlichkeit betont, indem ein reduziertes Lösegeld angeboten wird, falls die Kontaktaufnahme innerhalb der ersten 24 Stunden erfolgt. Weiterhin wird gedroht, dass die gestohlenen Dateien veröffentlicht werden, falls die Zahlung verweigert wird. Zusätzlich wird gewarnt, dass das Entschlüsselungstool gelöscht wird, wenn das Opfer die Zahlung verweigert, wodurch das Risiko eines dauerhaften Datenverlusts erhöht wird.

In Wirklichkeit garantiert die Zahlung eines Lösegelds keine Wiederherstellung der Dateien. Viele Opfer erhalten entweder funktionslose Entschlüsselungswerkzeuge oder werden nach der Zahlung ignoriert. Ohne Zugriff auf die privaten Entschlüsselungsschlüssel der Angreifer ist die Wiederherstellung verschlüsselter Dateien in der Regel unmöglich, es sei denn, es liegen zuverlässige Backups vor.

Infektionsvektoren und Verbreitungsmethoden

Run-Ransomware nutzt gängige, aber hochwirksame Verbreitungswege, die in der Ransomware-Landschaft häufig eingesetzt werden. Die Infektion erfolgt in der Regel nach dem Kontakt mit schädlichen oder irreführenden Inhalten. Angreifer tarnen ihre Schadsoftware oft in Dateien, die legitim oder routinemäßig erscheinen.

Häufige Infektionswege sind:

  • Phishing-E-Mails mit schädlichen Anhängen oder Links
  • Gefälschte technische Support-Nachrichten und Social-Engineering-Betrugsmaschen
  • Raubkopierte Software, Cracks und Keygeneratoren
  • Kompromittierte oder betrügerische Websites
  • Peer-to-Peer-Dateiaustauschnetzwerke
  • Schädliche Werbung und Exploit-Kits
  • Infizierte USB-Laufwerke
  • Ausnutzung ungepatchter Software-Schwachstellen

Schadsoftware kann sich als ausführbare Programme, Skripte, komprimierte Archive (ZIP oder RAR) oder gängige Dokumentformate wie Word-, Excel- und PDF-Dateien tarnen. Veraltete Software erhöht das Risiko erheblich, da Angreifer häufig bekannte Sicherheitslücken ausnutzen, um sich Zugang zu verschaffen.

Die Bedeutung der sofortigen Entfernung

Sobald Ransomware in ein System eingedrungen ist, muss sie schnellstmöglich entfernt werden. Bleibt sie aktiv, kann sie weiterhin neu erstellte oder verbundene Dateien verschlüsseln, auch solche auf zugeordneten Netzlaufwerken oder gemeinsam genutzten Speichern. In Unternehmensumgebungen kann dies einen einzelnen kompromittierten Endpunkt zu einem großflächigen Netzwerkvorfall ausweiten.

Die rechtzeitige Trennung des infizierten Geräts vom Netzwerk kann eine seitliche Ausbreitung verhindern. Die alleinige Entfernung entschlüsselt jedoch nicht die betroffenen Dateien; sie stoppt lediglich weitere schädliche Aktivitäten.

Stärkung der Verteidigung: Wesentliche Sicherheitspraktiken

Ein wirksamer Schutz vor Run-Ransomware und ähnlichen Bedrohungen erfordert eine mehrschichtige Sicherheitsstrategie. Obwohl kein System völlig immun ist, reduzieren die folgenden bewährten Verfahren das Risiko erheblich:

  • Führen Sie regelmäßig Offline- oder Cloud-basierte Backups durch und überprüfen Sie deren Integrität.
  • Halten Sie Betriebssysteme und Anwendungen mit den neuesten Sicherheitspatches auf dem aktuellen Stand.
  • Setzen Sie auf bewährte Endpoint-Schutzlösungen mit Echtzeit-Bedrohungserkennung.
  • Deaktivieren Sie Makros in Office-Dokumenten, es sei denn, sie sind unbedingt erforderlich.
  • Vermeiden Sie das Herunterladen von Raubkopien oder inoffizieller Software.
  • Seien Sie vorsichtig bei unaufgeforderten E-Mails, insbesondere solchen mit Anhängen oder dringenden Anfragen.
  • Beschränken Sie die administrativen Berechtigungen, um unautorisierte Systemänderungen zu verhindern.
  • Implementieren Sie Netzwerksegmentierung in organisatorischen Umgebungen.

    • Neben technischen Kontrollmaßnahmen bleibt das Bewusstsein der Nutzer ein Eckpfeiler der Cybersicherheitsresilienz. Schulungen zur Erkennung von Phishing-Versuchen und verdächtigen Downloads können die Erfolgsraten von Infektionen drastisch reduzieren.

    Abschlussbewertung

    Run Ransomware verdeutlicht die zunehmende Raffinesse moderner Ransomware-Angriffe. Durch Verschlüsselung, Datendiebstahl und psychologische Manipulation zwingt sie Opfer zu schnellen Zahlungen. Ihre Zugehörigkeit zur Makop-Ransomware-Familie unterstreicht die strukturierte und sich stetig weiterentwickelnde Natur dieser kriminellen Organisationen.

    Eine Wiederherstellung ohne Backups ist oft unmöglich, und die Zahlung von Lösegeld bleibt ein riskantes Unterfangen. Der zuverlässigste Schutz liegt in einer proaktiven Verteidigung: robuste Backup-Strategien, zeitnahe Software-Updates, starker Endpunktschutz und ein umsichtiges Nutzerverhalten. Angesichts der heutigen Bedrohungslandschaft ist Vorsorge nicht optional, sondern unerlässlich.

    System Messages

    The following system messages may be associated with Run (Makop) Ransomware:

    ----------------------------------------------------

    WARNING! AVVERTIMENTO! WARNUNG!

    ----------------------------------------------------

    Your computer is locked, your data are encrypted and stolen.

    Contact us immediately to pay and decrypt your files.

    The decryption price is lower for the first 24 hours.

    If you don't pay for decryption after your initial contact, the files will be published online.

    The decoder will be deleted if you don't pay.

    ----------------------------------------------------

    Email: runandpay@outlook.com

    ----------------------------------------------------

    YOUR ID:

    Im Trend

    Medusa-Ransomware-Angriffskampagne

    Erweiterte, anhaltende Bedrohung (APT), Ransomware
    Die als Lazarus-Gruppe (auch bekannt als Diamond Sleet und Pompilus) bekannte, mit Nordkorea in Verbindung stehende Bedrohungsgruppe wurde dabei beobachtet, wie sie die Medusa-Ransomware in einem Angriff auf eine nicht näher genannte Organisation im Nahen Osten einsetzte. Sicherheitsforscher entdeckten zudem einen erfolglosen Einbruchsversuch derselben Akteure gegen eine Gesundheitseinrichtung...

    Am häufigsten gesehen

    Wird geladen...