Luna: Neue Ransomware-Gruppe nutzt plattformübergreifende Programmiersprache Rust

Kaspersky-Forscher haben eine neue Ransomware-Gruppe identifiziert, die den Trend zur Nutzung plattformübergreifender Funktionalitäten weiter unterstreicht [1]. Die Gruppe Luna verwendet eine in Rust geschriebene Ransomware. Sie ermöglicht es, Malware in einfacher Weise von einem Betriebssystem auf ein anderes zu adaptieren.

Luna setzt Malware ein, die in Rust geschrieben wurde, und kann dadurch Windows-, Linux- sowie ESXi-Systeme auf einmal angreifen. In der von Kaspersky entdeckten Anzeige im Dark Web heißt es, dass Luna nur mit russischsprachigen Partnern zusammenarbeitet. Darüber hinaus enthält die in der Binärdatei fest einkodierte Lösegeldforderung einige Rechtschreibfehler, was darauf schließen lässt, dass die Gruppe möglicherweise russischsprachig ist. Da es sich bei Luna um eine neu entdeckte Gruppe handelt, gibt es noch wenig Daten über ihre Viktimologie – Kaspersky verfolgt jedoch aktiv die Aktivitäten von Luna.

Die Entdeckung von Luna unterstreicht den jüngsten Trend zu plattformübergreifender Ransomware; Sprachen wie Golang und Rust wurden bereits im vergangenen Jahr von modernen Ransomware-Banden in großem Umfang eingesetzt. Dazu gehören unter anderem BlackCat und Hive, wobei letztere sowohl Go als auch Rust verwenden. Diese Programmiersprachen sind plattformunabhängig, so dass die mit ihnen geschriebene Ransomware leicht auf weitere Plattformen übertragen werden kann. Die Angriffe können dadurch auf mehrere Betriebssysteme gleichzeitig gerichtet werden.

Neue Ransomware-Variante von Akteur Black Basta

Eine weitere, kürzlich von Kaspersky durchgeführte Untersuchung gibt einen tieferen Einblick in die Aktivitäten des Ransomware-Akteurs Black Basta. Diese Gruppe führt eine neue, in C++ geschriebene Ransomware-Variante aus, die erstmals im Februar 2022 entdeckt wurde. Seitdem ist es Black Basta gelungen, mehr als 40 Opfer anzugreifen – hauptsächlich in den Vereinigten Staaten, Europa und Asien.

Wie die Untersuchungen von Kaspersky zeigen, zielen sowohl Luna als auch Black Basta auf ESXi-Systeme sowie Windows und Linux ab – ein weiterer Ransomware-Trend des Jahres 2022 [2]. ESXi ist ein Hypervisor, der unabhängig von anderen Betriebssystemen verwendet werden kann. Da viele Unternehmen virtuelle Maschinen auf ESXi-Basis nutzen, ist es für die Angreifer einfacher geworden, die Daten ihrer Opfer zu verschlüsseln.

„Die Trends, die wir Anfang des Jahres skizziert haben, scheinen sich zu verstärken“, betont Jornt van der Wiel, Sicherheitsexperte bei Kaspersky. „Wir beobachten, dass immer mehr cyberkriminelle Banden plattformübergreifende Sprachen für die Entwicklung ihrer Ransomware verwenden. Damit können sie ihre Malware auf einer Vielzahl von Betriebssystemen einsetzen. Die zunehmenden Angriffe auf virtuelle ESXi-Maschinen sind alarmierend. Wir erwarten, dass immer mehr Ransomware-Familien auf dieseStrategie zurückgreifen werden.“

Kaspersky-Empfehlungen zum Schutz vor Ransomware-Angriffen

• Remote-Desktop-Dienste, wie etwa RDP, sollten nur dann für öffentliche Netze freigegeben werden, wenn dies unbedingt erforderlich ist. Die Verwendung sicherer Kennwörter ist von entscheidender Bedeutung.
• Die Verteidigungsstrategie von Unternehmen sollte sich auf die Erkennung von Seitwärtsbewegungen und Datenexfiltration ins Internet konzentrieren. Außerdem sollte besonders auf den ausgehenden Datenverkehr geachtet werden, um Verbindungen von Cyberkriminellen zu erkennen.
• Durch den Einsatz moderner Sicherheitslösungen wie Kaspersky Endpoint Detection and Response Expert [3] und Kaspersky Managed Detection and Response [4] können Angriffe bereits im Anfangsstadium erkannt und gestoppt werden, bevor die Angreifer ihr Ziel erreichen.
• Um Unternehmensumgebungen zu schützen, sollten Mitarbeiter regelmäßig geschult werden. Dazu dienen spezielle Schulungsprogramme, wie sie beispielsweise in der Kaspersky Automated Security Awareness Platform [5] angeboten werden.
• Es sollten stets die neuesten Threat-Intelligence-Informationen [6] genutzt werden, um sich über die aktuellen TTPs von Bedrohungsakteuren zu informieren. Das Kaspersky Threat Intelligence Portal [7] ist ein zentraler Zugangspunkt, der Cyberangriffsdaten und Erkenntnisse liefert, die das Team des Cybersicherheits-Experten in 25 Jahren gesammelt hat. Kaspersky bietet einen kostenlosen Zugang zu unabhängigen, ständig aktualisierten und weltweit verfügbaren Informationen über aktuelle Cyberangriffe und Bedrohungen. Ein Testzugang kann angefordert werden unter https://www.kaspersky.de/enterprise-security/threat-intelligence-subscription

Weitere Erkenntnisse sind verfügbar unter https://securelist.com/luna-black-basta-ransomware/106950/

[1] https://securelist.com/luna-black-basta-ransomware/106950/

[2] https://securelist.com/new-ransomware-trends-in-2022/106457/

[3] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr

[4 https://www.kaspersky.de/enterprise-security/managed-detection-and-response

[5] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform

[6] https://www.kaspersky.de/enterprise-security/threat-intelligence

[7] https://www.kaspersky.de/about/press-releases/2022_erweitertes-threat-intelligence-portal-bietet-konsolidierten-zugriff-auf-kaspersky-know-how

Nützliche Links:

• Kaspersky-Analyse zu Luna: https://securelist.com/luna-black-basta-ransomware/106950/
• Kaspersky Managed Detection and Response: https://www.kaspersky.de/enterprise-security/managed-detection-and-response
• Kaspersky Security Awareness Platform: https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
• Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence