Die Lazarus-Gruppe hat sich immer durch die Nutzung von Methoden, die typisch f\u00fcr APT-Angriffe sind, aber auf finanzielle Cyberkriminalit\u00e4t ausgerichtet ist, ausgezeichnet. K\u00fcrzlich entdeckten unsere Experten frische, bisher unerforschte VHD-Malware, mit der Lazarus anscheinend experimentiert.<\/p>\n
Funktionell gesehen ist VHD ein ziemlich standardm\u00e4\u00dfiges Ransomware-Tool. Es schleicht sich durch die Laufwerke, die an den Computer eines Opfers angeschlossen sind, verschl\u00fcsselt Dateien und l\u00f6scht alle Ordner mit System-Volume-Informationen (und sabotiert dadurch Systemwiederherstellungsversuche in Windows). Dar\u00fcber hinaus kann es Prozesse unterbrechen, die wichtige Dateien potenziell vor \u00c4nderungen sch\u00fctzen k\u00f6nnten (wie Microsoft Exchange oder SQL Server).<\/p>\n
Wirklich interessant ist jedoch die Art und Weise, wie VHD auf die Zielcomputer gelangt, denn die \u00dcbertragungsmechanismen haben mehr mit APT-Angriffen zu tun. Unsere Experten untersuchten k\u00fcrzlich einige VHD-F\u00e4lle und analysierten die Aktionen der Angreifer in jedem dieser Angriffe.<\/p>\n
Im ersten Vorfall wurde die Aufmerksamkeit unserer Experten auf den b\u00f6sartigen Code gelenkt, der f\u00fcr die Verbreitung von VHD \u00fcber das Zielnetzwerk verantwortlich ist. Es stellte sich heraus, dass die Ransomware \u00fcber Listen mit den IP-Adressen der Computer des Opfers sowie \u00fcber Zugangsdaten f\u00fcr Konten mit Administratorrechten verf\u00fcgte. Sie benutzte diese Daten f\u00fcr Brute-Force-Angriffe auf den SMB-Dienst. Wenn es der Malware gelang, sich \u00fcber das SMB-Protokoll mit dem Netzwerkordner eines anderen Computers zu verbinden, kopierte und f\u00fchrte sie sich selbst aus und verschl\u00fcsselte dabei auch diesen Computer.<\/p>\n
Ein solches Verhalten ist nicht sehr typisch f\u00fcr Massen-Ransomware. So muss zumindest eine vorl\u00e4ufige Aussp\u00e4hung der Infrastruktur des Opfers vorliegen, die eher f\u00fcr APT-Kampagnen charakteristisch ist.<\/p>\n
Als unser Global Emergency Response Team das n\u00e4chste Mal w\u00e4hrend einer Untersuchung auf diese Ransomware stie\u00df, konnten die Forscher die gesamte Infektionskette zur\u00fcckverfolgen. Wie sie berichteten, haben die Cyberkriminellen<\/p>\n
Weitere Untersuchungen der eingesetzten Werkzeuge ergaben, dass die Backdoor Teil des plattform\u00fcbergreifenden MATA-Frameworks<\/a> (den einige unserer Kollegen als Dacls bezeichnen) ist. Wir sind zu dem Schluss gekommen, dass es sich um ein weiteres Lazarus-Tool handelt.<\/p>\n Sie finden eine detaillierte technische Analyse dieser Tools zusammen mit Kompromittierungsindikatoren im entsprechenden Beitrag auf unserem Securelist Blog.<\/a><\/p>\n Die VHD-Ransomware sind keine Amateure, wenn es darum geht, Firmencomputer mit einem Verschl\u00fcsseler zu infizieren. Die Malware ist nicht allgemein in Hackerforen verf\u00fcgbar, sondern wird speziell f\u00fcr gezielte Angriffe entwickelt. Die Techniken, die verwendet werden, um in die Infrastruktur des Opfers einzudringen und sich innerhalb des Netzwerks zu verbreiten, erinnern an ausgekl\u00fcgelte APT-Angriffe.<\/p>\n Diese allm\u00e4hliche Verwischung der Grenzen zwischen Finanz-Cyberkriminalit\u00e4tstools und APT-Angriffen ist ein Beweis daf\u00fcr, dass auch kleinere Unternehmen den Einsatz fortschrittlicherer Sicherheitstechnologien in Betracht ziehen m\u00fcssen. In Betracht dessen haben wir k\u00fcrzlich eine integrierte L\u00f6sung vorgestellt, die sowohl die Endpoint Protection Platform (EPP) als auch die Endpoint Detection and Response (EDR)-Funktion umfasst. Weitere Informationen \u00fcber die L\u00f6sung finden Sie auf der Produktseite.<\/a><\/p>\n\n","protected":false},"excerpt":{"rendered":" Die cyberkriminelle Lazarus Gruppe verwendet traditionelle APT-Techniken zur Verbreitung von VHD-Ransomware.<\/p>\n","protected":false},"author":700,"featured_media":24803,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3108],"tags":[3469,2920,535],"class_list":{"0":"post-24801","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-gezielte-angriffe","10":"tag-lazarus","11":"tag-ransomware"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/lazarus-vhd-ransomware\/24801\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/lazarus-vhd-ransomware\/21633\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/lazarus-vhd-ransomware\/17096\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/lazarus-vhd-ransomware\/22905\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/lazarus-vhd-ransomware\/21091\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/lazarus-vhd-ransomware\/19773\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/lazarus-vhd-ransomware\/23573\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/lazarus-vhd-ransomware\/22422\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/lazarus-vhd-ransomware\/28813\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/lazarus-vhd-ransomware\/8652\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/lazarus-vhd-ransomware\/36559\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/lazarus-vhd-ransomware\/15384\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/lazarus-vhd-ransomware\/15827\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/lazarus-vhd-ransomware\/13727\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/lazarus-vhd-ransomware\/11764\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/lazarus-vhd-ransomware\/28892\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/lazarus-vhd-ransomware\/25748\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/lazarus-vhd-ransomware\/22658\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/lazarus-vhd-ransomware\/27923\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/lazarus-vhd-ransomware\/27753\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ransomware\/","name":"Ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24801","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=24801"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24801\/revisions"}],"predecessor-version":[{"id":24805,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24801\/revisions\/24805"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/24803"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=24801"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=24801"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=24801"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Wie Sie Ihr Unternehmen sch\u00fctzen<\/h2>\n