WastedLocker Ransomware trifft jetzt Home-Office-Mitarbeiter
Ein neuer Malware-Betrug ist in den Vordergrund gerückt, diesmal speziell für Heimbüroangestellte. Kein Wunder, wenn man bedenkt, dass derzeit fast 2/3 aller US-Mitarbeiter aufgrund der anhaltenden Covid-19-Pandemie zu Hause festsitzen und einen entfernten Job erledigen. Jetzt sind Millionen von Heimangestellten einer bösen Ransomware-Bedrohung namens WastedLocker ausgesetzt . Im Zusammenhang mit dem Cybergang Evil Corp hat Wasted Locker Berichten zufolge bis heute Dutzende von Unternehmen getroffen und sucht nun nach Heim-PC-Benutzern mit VPN-Verbindung.
Mehrstufige Infektion durch ein JavaScript-Framework
Um eine WastedLocker-Ransomware-Infektion auf ein Zielgerät zu übertragen, müssen die verantwortlichen Akteure Webbenutzer auf eine kompromittierte Website umleiten, die das sogenannte SocGholish enthält - ein JavaScript-Framework voller bösartiger Codes -, das normalerweise als gefälschtes Software-Update in a getarnt ist .zip Archiv. Nach der Ausführung startet das SocGholish JavaScript eine weitere JS-Komponente über den Script-Host wscript.exe, um Details zum PC zu sammeln. Anschließend wird PowerShell bereitgestellt, um das Cobalt Strike-Tool zusammen mit einem .NET-Injektor herunterzuladen. Ersteres bietet unbefugten Systemzugriff. Letzteres ist in der Lage , böswillige Nutzdaten direkt in den Systemspeicher auszuführen und so den Endpunktschutz zu umgehen. Beide Tools liefern letztendlich die Nutzlast des Cobalt Strike Beacon. Das Beacon dient als primäres Bedienfeld für weitere Code-Injektionen, Befehlsausführungen und Eskalationen von Berechtigungen.
Diese Woche in Malware Episode 13 Teil 1: Hacker von Evil Corp können keine WastedLocker-Ransomware bereitstellen
Bevor sie die eigentliche WastedLocker-Ransomware-Infektion auslösen, manipulieren die Gauner die Einstellungen von Windows Defender, um zu verhindern, dass Echtzeit-Scans und -Überwachungen ausgeführt werden. Als Nächstes stellen sie das PsExec-Befehlszeilentool bereit, um die WastedLocker-Nutzdaten auszuführen.
Verschlüsselung
Nach dem Ausführen beginnt WastedLocker mit der Verschlüsselung der Daten des Opfers. Außerdem werden alle auf dem System vorhandenen Schattenvolumenkopien entfernt. Am Ende lähmt der Angriff das Netzwerk des Benutzers und behindert den Workflow erheblich. Während die genaue Höhe des geforderten Lösegelds unbekannt bleibt, haben die Gauner bei Evil Corp angeblich Millionen von Dollar verdient. Sie konzentrierten ihre Bemühungen darauf, Websites großer Unternehmen im gesamten Geschäftsspektrum der USA zu kompromittieren. Bisher kommen die am häufigsten angesprochenen Unternehmen aus der Fertigungsindustrie, gefolgt von der IT-Sphäre sowie Medien und Telekommunikation.