2019 war das Jahr der Lösegeldangriffe. Doch diese Serie reißt nicht ab.

Im März 2016 wurden bereits bösartige Spam-Kampagnen und Exploit-Kits erstmals als „Ransom.Cryptomix“ verbreitet – der Name enthält eine Kombination aus zwei separaten Ransomware-Serien: CryptXXX und CryptoWall.

„Ransom.Cryptomix“ kann die Ausführung von Antivirenprogrammen und anderen Sicherheitsfunktionen von Microsoft Windows verhindern und die Verhinderung der Systemwiederherstellung als Druckmittel nutzen, um Lösegeldzahlungen einzufordern. Während der Verschlüsselungsphase kann die Ransomware im Hintergrund laufen, sodass der Betroffene keine Hinweise auf eine Infektion feststellen kann. Sobald ein System oder Computer mit dieser schadhaften Anwendung befallen ist, werden die entsprechenden Rechner verschlüsselt und eine Lösegeldforderung an die Opfer gestellt, die zur „Befreiung“ gezahlt werden muss.

Eine Ransomware-Variante namens Clop wurde bereits im Februar 2019 mit den gleichen Eigenschaften, die seit 2016 bekannt sind, erneut in Umlauf gebracht.

Das eigentliche Ziel der Clop Ransomware ist nicht der einzelne Computer, sondern das Netzwerk. So mussten Angreifer ihre Strategie und Taktik ändern, um ihr Vorhaben umzusetzen. Mit einem neuen und integrierten Prozessvernichter hat es das Schadprogramm seit März 2019 auf Anwendungen von Windows 10, Textverarbeitungsprogrammen, Entwicklerumgebungen und Programmiersprachen sowie Office-Applikationen abgesehen. Die weiterentwickelte Clop Ransomware begann damit, Dienste für Microsoft Exchange, Microsoft SQL Server, MySQL, BackupExec und andere Unternehmenssoftware zu deaktivieren.

Den Opfern sollte verständlich gemacht werden, dass die Angreifer ein ganzes Netzwerk infizieren können und nicht nur einzelne PC´s, demnach wurde die Höhe der Lösegeldsumme nach oben korrigiert.

Quelle: www.bleepingcomputer.com

Eine Hackergruppierung, bekannt als TA505, hatte damals festgestellt, dass nach der Kompromittierung eines Netzwerkes, ähnlich wie bei Ryuk, BitPaymer und DoppelPaymer, die Clop Ransomware das Mittel der Wahl war, um netzwerkweit zu verschlüsseln.

Im November 2019 veröffentlichten die Angreifer eine neue Variante, die versuchte, Windows Defender auf lokalen Computern zu deaktivieren, damit es von zukünftigen Signatur-Updates nicht erkannt wird. Auch Unternehmen in den Niederlanden und Frankreich sind so ins Visier der Angreifer gelangt. Erst im Dezember ist die Maastricht Universität (MU) mit der Clop Ransomware infiziert worden, wie sich nach Ermittlungen herausstellte.

Clop ist in der Lage, über 650 Prozesse zu beenden

Einige der wesentlichen Prozesse, die ohne erkennbaren Grund beendet werden, sind Android Debug Bridge, Notepad++, Everything, Tomcat, SnagIt, Bash, Visual Studio, Microsoft Office-Anwendungen, sowie Programmiersprachen wie Python und Ruby, die SecureCRT-Terminalanwendung, der Windows-Taschenrechner und sogar die neue Windows 10 Your Phone-App.

·         ACROBAT.EXE ·         PYTHON.EXE
·         ADB.EXE ·         QEMU-GA.EXE
·         CODE.EXE ·         RUBY.EXE
·         CALCULATOR.EXE ·         SECURECRT.EXE
·         CREATIVE CLOUD.EXE ·         SKYPEAPP.EXE
·         ECLIPSE.EXE ·         SNAGIT32.EXE
·         EVERTHING.EXE ·         TOMCAT7.EXE
·         JENKINS.EXE ·         UEDIT32.EXE
·         MEMCACHED.EXE ·         WINRAR.EXE
·         MICROSOFTEDGE.EXE ·         WINWORD.EXE
·         NOTEPAD++-EXE ·         YOURPHONE.EXE
·         POWERPNT.EXE

 

Diese Art des Geschäfts erweist sich für Angreifer als sehr lukrativ

Immer öfter gehen Unternehmen auf die Lösegeldforderungen nach einer Infektion ein und bezahlen diese. Solche erfolgreichen Umsätze führen dazu, dass Hackergruppen mehr Zeit investieren werden, um Ihre Angriffsmethoden und -strategien weiterzuentwickeln und die Bedrohungslage konstant zu halten.

Sobald Hacker feststellen, dass ein Unternehmen eine schwach aufgestellte IT-Infrastruktur aufweist, sind diese profitabel, da sie mit wenig Aufwand mit Schadprogrammen infiziert werden können. Eine starkes IT-Umfeld erfordert mehr Arbeit für den Hacker, welches sich als nicht effizient herausstellt. Demnach sollte jedes Unternehmen eine umfassende Cybersecurity-Strategie umsetzen oder schnellstmöglich implementieren, um nicht zur Zielscheibe zu werden.