Kopieren und Löschen der Originaldaten

Sophos beobachtet neues Vorgehen bei Ransomware-Bande Memento

Uhr
von Kevin Fischer und nba

Ransomware kann je nach Sicherheitsmassnahmen nicht beliebige Dateien verschlüsseln, wie auch die Ransomware-Bande "Memento" feststellte. Sie war aber einfallsreich: Sie kopierte die Originaldaten, verschlüsselte die Kopie und löschte die Originale. Die Kriminellen bewegten sich bereits Monate zuvor im Netzwerk ihres Opfers.

(Source: zephyr_p/AdobeStock.com)
(Source: zephyr_p/AdobeStock.com)

Sophos hat bei einem Cyberangriff der Ransomware-Bande "Memento" ein neues Vorgehen beobachtet. Wie der Anbieter von Cybersecurity-Lösungen mitteilt, konnten die Kriminellen die Zieldaten des angegriffenen Unternehmens mit ihrer Ransomware nicht verschlüsseln. Deshalb kopierten sie unverschlüsselte Dateien in passwortgeschützte Archive, verschlüsselten das Passwort, löschten die Originaldateien und verlangten danach ein Lösegeld.

"Von Menschen gesteuerte Ransomware-Angriffe sind selten eindeutig und linear", sagt Sean Gallagher, Senior Threat Researcher bei Sophos. "Angreifer nutzen Gelegenheiten spontan, wenn sie sie finden oder manchmal unterlaufen ihnen auch Fehler. Dann ändern sie ihre Taktik 'on-the-fly', denn wenn es ihnen gelingt, in das Netzwerk eines Ziels einzudringen, wollen sie auf keinen Fall mit leeren Händen dastehen. Der Memento-Angriff ist ein gutes Beispiel dafür und erinnert uns daran, dass es wichtig ist, für Sicherheit auf allen Ebenen zu sorgen."

Das betroffene Unternehmen kam in diesem Fall glimpflich davon. Es konnte seine Daten ohne die Hilfe von Memento wieder herstellen.

Sicherheitslücke wurde von mehreren Angreifern ausgenutzt

Gemäss Mitteilung bewegten sich die Kriminellen bereits mehrere Monate im Netzwerk des Opfers, erkundeten es und verschafften sich interaktive Verbindungen zum angegriffenen Server. Zugang hätten sie sich über eine Schwachstelle in VMware vSphere verschafft. Während ihrer mehrmonatigen Aktion nutzten zwei andere Angreifer dieselbe Lücke aus, um Kryptominer zu installieren.

"Wir haben das schon oft erlebt: Wenn Sicherheitslücken im Internet bekannt und nicht gepatcht werden, nutzen Angreifer sie schnell aus und so tummeln sich plötzlich verschiedene Hackergruppen im selben Netzwerk", sagt Gallagher. "Je länger die Schwachstellen nicht behoben werden, desto mehr Angreifer werden auf sie aufmerksam."

Tipps für mehr Schutz vor Cyberkriminalität

In der Mitteilung gibt Sophos eine Reihe von Empfehlungen, damit Unternehmen sich besser vor Cyberangriffen schützen können. Die zwei Ratschläge auf strategischer Ebene lauten:

  • Mehrschichtiger Schutz

  • Kombination aus menschlicher Expertise und Technologie

Auf tagtäglicher taktischer Ebene empfiehlt Sophos:

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_239201