29. November 2020

Ragnar-Locker-Angriff setzt virtuelle Maschine zur Umgehung der Sicherheit

Ransomware-Alarm: Ragnar-Locker-Angriff setzt virtuelle Maschine zur Umgehung der Sicherheit ein

Das britische Cybersicherheits-Unternehmen Sophos enthüllt die Lösegeld-Attacke Ragnar Locker, bei der eine virtuelle Maschine eingesetzt wird, um die Sicherheit zu umgehen.

 virtuelle Maschine laut Bitcoin Profit

Das Cybersicherheitsunternehmen Sophos hat Details über die Ragnar Locker-Attacke enthüllt, die auf Unternehmen abzielt, die hohe Lösegelder fordern. Der Angriff nutzt eine virtuelle Maschine laut Bitcoin Profit, um die Zielcomputer zu infizieren. Dies ermöglicht es dem Angriff, die Sicherheit lokaler Antiviren-Software zu umgehen.

Lösegeld für Ragnar Locker

Die Lösegeldforderungen zielen eher auf Unternehmen als auf Einzelpersonen ab und verlangen große Geldbeträge für die Entschlüsselung ihrer Dateien. Sophos’ Bericht nennt ein Beispiel von Energias de Portugal, das zehn Terabyte Daten gestohlen und 1.850 BTC (14,5 Millionen USD zum aktuellen Handelspreis) verlangt hat. Ihnen wurde angedroht, dass die Angreifer die Daten der Öffentlichkeit zugänglich machen würden, wenn das Lösegeld nicht gezahlt würde.

Der Angreifer versteckt eine kleine ausführbare Lösegelddatei in einem virtuellen Image und tarnt sie als Installationsprogramm. Laut Sophos’ Bericht war “der Payload des Angriffs ein 122 MB großes Installationsprogramm mit einem 282 MB großen virtuellen Image”, um eine 49 kB große ausführbare Lösegelddatei zu verstecken.

Die Angreifer haben es auf die RDP-Verbindungen (Windows Remote Desktop Protocol) abgesehen, um in den angegriffenen Netzwerken Fuß zu fassen. Sobald der Angreifer Zugriff auf Administratorebene erlangt hat, bewegen sie sich über das Netzwerk zu Clients und Servern, wobei sie native Windows-Tools wie Powershell und Windows-Gruppenrichtlinienobjekte (GPOs) verwenden.

Ransomware-Angriffe, die eine Krypto-Währung zur Entschlüsselung von Dateien erfordern, haben in den letzten Jahren zugenommen. Erst kürzlich berichtete Cryptopolitan, dass Popstar Madonna im Rahmen eines Krypto-Lösegeld-Schemas von REvil ins Visier genommen wurde. Die Angreifer würden am 25. Mai mit einem Startgebot von einer Million US-Dollar sensible Informationen über Madonna versteigern.