Ransomware
Unsere Experten haben den Angriff eines neuen Trojaners entdeckt, den sie auf den Namen CryWiper getauft haben. Auf den ersten Blick sieht diese Malware wie Ransomware aus: Sie verändert Dateien, fügt ihnen eine zusätzliche Erweiterung hinzu und speichert eine README.txt-Datei mit einer Lösegeldforderung, die die Bitcoin-Wallet-Adresse, die E-Mail-Adresse der Malware-Ersteller sowie die Infektions-ID enthält. Tatsächlich ist diese Malware jedoch ein Wiper: Das Original einer durch CryWiper veränderten Datei kann nicht wiederhergestellt werden – niemals! Wenn Sie also eine Lösegeldforderung erhalten und Ihre Dateien plötzlich mit der Erweiterung .CRY versehen sind, ist eine Lösegeldzahlung vollkommen sinnlos.
In der Vergangenheit haben wir einige Malware-Stämme gesehen, die versehentlich zu Wipern mutiert sind – beispielsweise aufgrund der schlechten Implementierung von Verschlüsselungsalgorithmen seitens ihrer Entwickler. Diesmal ist das jedoch nicht der Fall: Unsere Experten sind sich sicher, dass die Angreifer mit diesem Wiper nicht auf finanzielle Gewinne aus sind, sondern vielmehr die Zerstörung von Daten im Sinn haben. Denn die Dateien werden nicht wirklich verschlüsselt, sondern mit pseudo-zufällig generierten Daten überschrieben.
Danach sucht CryWiper
Der Trojaner beschädigt jegliche Daten, die für die Funktionsweise des Betriebssystems nicht essenziell sind. Dateien mit den Erweiterungen .exe, .dll. .lnk, .sys, und .msi sind nicht betroffen und mehrere Systemordner im Verzeichnis C:\Windows werden ebenfalls gekonnt ignoriert. Die Malware konzentriert sich auf Datenbanken, Archive und Benutzerdokumente.
Bislang haben unsere Experten nur punktuelle Angriffe auf Zielobjekte innerhalb der Russischen Föderation beobachten können. Wie in anderen Fällen auch, kann jedoch niemand garantieren, dass derselbe Code nicht auch gegen andere Zielobjekte eingesetzt wird.
So funktioniert der Trojaner CryWiper
Abgesehen davon, dass der Trojaner Dateien mit völligem Unsinn überschreibt, tut CryWiper zudem Folgendes:
- Er erstellt eine Aufgabe über die Aufgabenplanung, die den Wiper alle 5 Minuten neustarten lässt;
- Er leitet den Namen des infizierten Computers an den C&C-Server weiter und wartet auf einen Befehl, um einen Angriff auszuführen;
- Er pausiert Prozesse, die mit MySQL- und MS-SQL-Datenbankservern, MS-Exchange-Mailservern und MS-Active-Directory-Webdiensten in Verbindung stehen (andernfalls wäre der Zugriff auf einige Dateien blockiert und es wäre unmöglich, sie zu beschädigen);
- Er löscht Schattenkopien von Dateien, damit diese nicht wiederhergestellt werden können (aus irgendeinem Grund jedoch nur auf dem Laufwerk C:);
- Er deaktiviert die Verbindung zum betroffenen System über das RDP-Fernzugriffsprotokoll.
Was es mit der Deaktivierung des Remote Desktop Protocol auf sich hat, ist bislang unklar. Vielleicht versuchen die Malware-Autoren auf diese Weise, dem Incident-Response-Team die Arbeit zu erschweren, das immer einen Fernzugriff auf den betroffenen Computer bevorzugt – stattdessen müssten sie sich nun physischen Zugang zu ihm verschaffen. Technische Details des Angriffs sowie Hinweise auf eine Kompromittierung finden Sie in unserem Beitrag auf Securelist (nur auf Russisch).
So schützen Sie sich
Um Ihre Unternehmenscomputer vor Ransomware und Wipern zu schützen, empfehlen unsere Experten Folgendes:
- Überprüfen Sie alle Fernzugriffsverbindungen auf Ihre Infrastruktur; verbieten Sie Verbindungen aus öffentlichen Netzwerken und erlauben Sie einen RDP-Zugriff lediglich via VPN-Tunnel. Nutzen Sie zudem starke Passwörter und aktivieren Sie die 2FA, wenn dies möglich ist.
- Aktualisieren Sie kritische Software umgehend; vor allem Betriebssysteme, Sicherheitslösungen, VPN-Clients und Fernzugriffstools sollten immer auf dem neuesten Stand sein;
- Stärken Sie das Sicherheitsbewusstsein Ihrer Mitarbeiter, indem Sie beispielsweise spezialisierte Online-Tools verwenden;
- Verwenden Sie fortgeschrittene Sicherheitslösungen, um Arbeitsgeräte und Unternehmensnetzwerke zu schützen.
Tipps