Unsere Experten haben die Aktivit\u00e4ten von Andariel, eine vermeintliche Untergruppe der APT-Gruppe Lazarus, genauer analysiert. Die Cyberkriminellen verwenden die Malware DTrack sowie die Ransomware Maui, um Unternehmen weltweit anzugreifen. Typischerweise versucht die Gruppe mit ihren Angriffen finanzielle Gewinne zu erzielen \u2013 dieses Mal durch L\u00f6segeldforderungen.<\/p>\n
Unsere Experten sind zu dem Schluss gekommen, dass sich die Andariel-Gruppe nicht auf eine bestimmte Branche konzentriert, sondern bereit ist, jedes Unternehmen anzugreifen. Im Juni berichtete<\/a> die US-Beh\u00f6rde f\u00fcr Cyber- und Infrastruktursicherheit (CISA), dass die Ransomware Maui haupts\u00e4chlich auf Unternehmen und Regierungsorganisationen im US-Gesundheitssektor abzielt. Unser Team entdeckte jedoch auch mindestens einen Angriff auf ein Immobilienunternehmen in Japan und machte mehrere Opfer in Indien, Vietnam und Russland ausfindig.<\/p>\n Das Haupt-Tool der Andariel-Gruppe ist die seit langem etablierte Malware DTrack. Sie sammelt Informationen \u00fcber ein Opfer und sendet sie an einen Remote-Host. Unter anderem sammelt DTrack den Browserverlauf und speichert ihn in einer separaten Datei. Die bei Andariel-Angriffen verwendete Variante ist in der Lage, die gesammelten Informationen nicht nur \u00fcber HTTP an den Server der Cyberkriminellen zu senden, sondern sie auch auf einem Remote-Host im Netzwerk des Opfers zu speichern.<\/p>\n Sto\u00dfen die Angreifer auf f\u00fcr Sie interessante Daten, kommt die Ransomware Maui ins Spiel. Sie wird in der Regel 10 Stunden nach der Aktivierung der DTrack-Malware auf den angegriffenen Hosts entdeckt. Unsere Kollegen von Stairwell haben einige der ihnen vorliegenden Proben analysiert<\/a> und sind zu dem Schluss gekommen, dass die Ransomware manuell von den Betreibern gesteuert wird \u2013 das hei\u00dft, sie legen fest, welche Daten verschl\u00fcsselt werden.<\/p>\n Ein weiteres Tool, das die Angreifer zu verwenden scheinen, ist 3Proxy. Dieser legitime, kostenlose, plattform\u00fcbergreifende Proxy-Server ist wahrscheinlich aufgrund seiner kompakten Gr\u00f6\u00dfe f\u00fcr Angreifer von besonderem Interesse. Tools wie dieses k\u00f6nnen verwendet werden, um den Fernzugriff auf einen kompromittierten Computer aufrechtzuerhalten.<\/p>\n Die Cyberkriminellen nutzen ungepatchte Versionen von \u00f6ffentlichen Online-Diensten aus. In einem dieser F\u00e4lle wurde die Malware von einem HFS (HTTP File Server) heruntergeladen. Die Angreifer nutzten hier eine unbekannte Schwachstelle aus, die es ihnen erm\u00f6glichte, ein Powershell-Skript \u00fcber einen Remote-Server auszuf\u00fchren. In einem anderen Fall gelang es den Angreifern, einen WebLogic-Server \u00fcber eine Schwachstelle (CVE-2017-10271) zu kompromittieren, die ihnen schlie\u00dflich die Ausf\u00fchrung eines Skripts erm\u00f6glichte.<\/p>\n Eine detailliertere technische Beschreibung des Angriffs und der eingesetzten Tools sowie Hinweise auf eine Kompromittierung finden Sie in unserem Beitrag auf Securelist<\/a>.<\/p>\n Zun\u00e4chst sollten alle Unternehmensger\u00e4te, auch die Server, mit einer robusten Sicherheitsl\u00f6sung<\/a> ausgestattet sein. Dar\u00fcber hinaus ist es f\u00fcr den hypothetischen Fall einer Infektion ratsam, bereits im Voraus eine angemessene Anti-Ransomware-Strategie<\/a> und -Ma\u00dfnahmen zu entwickeln.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Die Gruppe Andariel greift Unternehmen \u00fcber diverse Schad-Tools an.<\/p>\n","protected":false},"author":2581,"featured_media":29140,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[536,2920,535],"class_list":{"0":"post-29139","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-erpressung","10":"tag-lazarus","11":"tag-ransomware"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/andariel-dtrack-maui\/29139\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/andariel-dtrack-maui\/24444\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/andariel-dtrack-maui\/19910\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/andariel-dtrack-maui\/26881\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/andariel-dtrack-maui\/24788\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/andariel-dtrack-maui\/25184\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/andariel-dtrack-maui\/27501\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/andariel-dtrack-maui\/27158\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/andariel-dtrack-maui\/33817\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/andariel-dtrack-maui\/10923\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/andariel-dtrack-maui\/45130\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/andariel-dtrack-maui\/19280\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/andariel-dtrack-maui\/19867\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/andariel-dtrack-maui\/28412\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/andariel-dtrack-maui\/25332\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/andariel-dtrack-maui\/30847\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/andariel-dtrack-maui\/30556\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ransomware\/","name":"Ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29139","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29139"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29139\/revisions"}],"predecessor-version":[{"id":29141,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29139\/revisions\/29141"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29140"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29139"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29139"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29139"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Angewandte Tools<\/h2>\n
So verbreitet die Gruppe Andariel ihre Malware<\/h2>\n
So sch\u00fctzen Sie sich<\/h2>\n