{"id":28234,"date":"2022-03-03T09:00:41","date_gmt":"2022-03-03T07:00:41","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28234"},"modified":"2022-03-03T09:00:41","modified_gmt":"2022-03-03T07:00:41","slug":"hermeticransom-hermeticwiper-attacks-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/hermeticransom-hermeticwiper-attacks-2022\/28234\/","title":{"rendered":"Ransomware lockt auf die falsche F\u00e4hrte"},"content":{"rendered":"

Unsere Forscher haben k\u00fcrzlich die Malware HermeticRansom, auch bekannt als Elections GoRansom, analysiert, bei der es sich im Grunde genommen um einen relativ simplen Kryptor handelt. Interessant ist jedoch, f\u00fcr welchen Zweck Angreifer die Malware eingesetzt haben.<\/p>\n

Einsatz von HermeticRansom<\/h2>\n

Computer wurden zeitgleich von HermeticRansom und einer weiteren Malware namens HermeticWiper angegriffen. \u00d6ffentlich zug\u00e4nglichen Informationen der Sicherheitsbranche zufolge, wurde die Malware bei den j\u00fcngsten Cyberangriffen in der Ukraine eingesetzt. Laut unseren Experten legen die relativ einfache und fragw\u00fcrdige Malware-Workflow-Implementierung nahe, dass HermeticWiper-Angriffe unter dem Deckmantel von HermeticRansom ausgef\u00fchrt wurden.<\/p>\n

Dazu ist HermeticRansom f\u00e4hig<\/h2>\n

Sobald der Computer des Opfers infiziert ist, identifiziert die Malware zun\u00e4chst alle verf\u00fcgbaren Festplatten und sammelt eine Liste von allen Verzeichnissen und Dateien, die sich nicht in den Ordnern \u201eWindows\u201c und \u201eProgramme\u201c lokalisieren lassen. Anschlie\u00dfend werden bestimmte Dateikategorien verschl\u00fcsselt und umbenannt. Im Zuge der Namens\u00e4nderung werden die Dateien mit der Markierung \u201eencrypted\u201c (verschl\u00fcsselt<\/em>) und der E-Mail-Adresse der Ransomware-Betreiber versehen. Die Malware erstellt au\u00dferdem eine read_me.html-Datei im Desktop-Ordner, die eine L\u00f6segeldforderung mit den Kontaktdetails der Angreifer enth\u00e4lt und folgenderma\u00dfen aussieht:<\/p>\n

\"L\u00f6segeldforderung

L\u00f6segeldforderung im Rahmen von HermeticRansom<\/p><\/div>\n

HermeticRansom verschl\u00fcsselt Dateien mit den folgenden Erweiterungen: .inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi und odt.<\/p>\n

Besonderheiten von HermeticRansom<\/h2>\n

HermeticRansom ist in der Programmiersprache Go geschrieben. Die Malware verwendet keine Verschleierungsmechanismen, und die Verschl\u00fcsselungsmethode selbst ist ziemlich umst\u00e4ndlich und ineffizient. Nach diesen und einigen anderen Anzeichen zu urteilen, glauben unsere Experten, dass diese Malware unter Zeitdruck erstellt wurde.<\/p>\n

Eine detailliertere technische Analyse der Malware sowie Hinweise auf Kompromittierung finden Sie auf unserem Securelist-Blog<\/a>.<\/p>\n

So k\u00f6nnen Sie sich sch\u00fctzen<\/h2>\n

Die Sicherheitsl\u00f6sungen von Kaspersky erkennen die Malware HermeticRansom und \u00e4hnliche Bedrohungen problemlos. Wir bieten eine Reihe von Tools zum Schutz von Heimcomputern und Unternehmensinfrastrukturen, darunter:<\/p>\n