Bedrohungsanalyse

    GandCrab Ransomware-Angriffe nutzen Schwachstellen des Valentinstags aus

    Am heutigen Valentinstag könnte Ihr großes Herz Sie in Schwierigkeiten bringen.

    by Joshua Douglas
    mimecast-analysis-gandcrab-decryptor.jpg

    Wenn Sie an den Valentinstag denken, kommen Ihnen wahrscheinlich zuerst Zuckerherzen, Rosen und Schokolade in den Sinn. Das Letzte wären vielleicht heimtückische E-Mail-Angriffe, aber dieses Jahr hat eine Gruppe von Cyberkriminellen diese Idee in den Vordergrund gerückt.

    Im Vorfeld des diesjährigen Valentinstags haben Cyberkriminelle die Emotionen der Menschen ausgenutzt, um sie dazu zu verleiten, auf bösartige URLs zu klicken und bösartige Anhänge zu öffnen, so eine neue Untersuchung des Mimecast Threat Labs-Teams .

    Die Bedrohungsakteure hinter GandCrab oder Cyberkriminelle, die GandCrab als Ransomware-as-a-Service (RaaS) nutzen, haben den Valentinstag genutzt, um ihre Opfer anzusprechen. Obwohl es GandCrab erst seit etwa 12 Monaten gibt, war es eine sehr erfolgreiche RaaS-Kampagne.

    Zu den Merkmalen der Kampagne gehören die Fähigkeit, russische Opfer zu erkennen (und die Infektion zu stoppen, wenn sie eine russisch konfigurierte Tastatur haben) und individuelle Lösegeldschreiben. Dies deutet darauf hin, dass diese Kampagnen speziell darauf ausgelegt sind, russische Nutzer nicht anzusprechen.

    Erhalten Sie Artikel wie diesen jede Woche in Ihren Posteingang. Abonnieren Sie noch heute Cyber Resilience Insights.

    Threat Labs hat in den letzten sechs Monaten Cyberangriffe und E-Mail-Kampagnen während der Weihnachtszeit und zu bestimmten Anlässen untersucht, um herauszufinden, wie diese Anlässe manipuliert werden können, um Unternehmen anzugreifen. Kampagnen rund um die Weihnachtszeit zielen oft auf persönliche E-Mail-Konten ab. Bedrohungsakteure nehmen jedoch zunehmend auch geschäftliche E-Mails ins Visier und nutzen Einzelpersonen aus, die auf der Suche nach Sonderangeboten für Geschenke für ihre Liebsten sind. Dies kann sich besonders auf kleinere IT-Organisationen auswirken, die möglicherweise nicht über solide Backup-Prozesse oder die richtigen Sicherheitsvorkehrungen verfügen.

    Diese Feiertage bieten Bedrohungsakteuren auch die Möglichkeit, eine große Menge an Informationen und Daten zu sammeln, die in Online-Shopping-Websites eingegeben werden, indem sie gefälschte Websites und gefälschte Kundenumfragen erstellen, die dem Opfer alles Mögliche versprechen, von gefälschten Gutscheinen bis hin zu "tollen Angeboten".

    Was ist GandCrab ransomware?

    GandCrab ist einzigartig für ransomware , da es nach der Kompromittierung die Dateien des Opfers verschlüsselt und die Dateierweiterungen ändert, die zufällig generiert werden. Die Textdatei mit der Lösegeldforderung erscheint außerdem oben auf dem Desktop des Opfers. Wenn sie geöffnet wird, zeigen die Textdateien, wie die Dateien des Opfers in eine zufällig generierte Dateierweiterung geändert wurden. Jede Textdatei enthält außerdem eine URL mit einem eindeutigen Token, das höchstwahrscheinlich zur Identifizierung des Opfers verwendet wird. Je nach Wert der Daten können die Lösegelder zwischen zwei verschiedenen Opfern sehr unterschiedlich ausfallen.

    Die Zahlung des Lösegelds wird den Opfern so leicht wie möglich gemacht, da die URL der Textdatei sie auf einfache Weise durch die Zahlung mit der Kryptowährung führt. Dies führt zu höheren Gewinnen bei gefährdeten Opfern und bei denjenigen, die bereit sind, den Preis zu zahlen, um ihre Dateien so schnell und einfach wie möglich wiederzubekommen.

    Darüber hinaus bestätigt die Untersuchung, dass die Bedrohungsakteure Bitcoin oder DASH als Bezahlung verlangen, um das GandCrab-Entschlüsselungstool für die Opfer freizugeben.

    Wie wurde der Valentinstag von Bedrohungsakteuren ausgenutzt?

    Zu den wichtigsten Bereichen, in denen Bedrohungsakteure ihre Opfer rund um den Valentinstag angreifen, gehören:

    • Betrügerische E-Mails, in denen Geschenke, Blumen und andere Dienstleistungen angeboten werden, führen oft dazu, dass Opfer bösartige Anhänge herunterladen, auf URLs klicken, die sie zu Phishing-Seiten führen, oder auf bösartige URLs klicken, die Malware und Ransomware herunterladen können. Zu den Dienstleistungen rund um dieses Datum gehören Sonderangebote für Valentinstagsdinner.
    • Fake E-greetings, verleitet das Opfer dazu, auf die E-Mail zu klicken und bösartige Anhänge zu öffnen oder auf bösartige URLs im Text der E-Mail zu klicken.
    • Gefälschte Online-Kundenumfragen, mit denen rund um den Valentinstag personenbezogene Daten gesammelt werden.
    • Gefälschte Anzeigen und Websites, mit denen um den Valentinstag herum finanzielle Daten abgegriffen werden.
    • Bösartige Dating-Apps, die rund um den Valentinstag zum Sammeln von persönlichen Daten und finanziellen Informationen genutzt werden.
    • Gehackte Dating-Apps und -Websites, die um den Valentinstag herum genutzt wurden, um personenbezogene Daten und Finanzdaten aus ihren Datenbanken zu sammeln.

    Wie das Team von Mimecast Threat Labs feststellte, hat GandCrab schon seit einiger Zeit vor dem Valentinstag Liebesbotschaften in seine Angriffe eingebaut.

    Wenn diese Taktiken erfolgreich sind, können die Bedrohungsakteure die aufgedeckten PII in anderen Kampagnen verwenden, sie an andere Bedrohungsakteure verkaufen, sie für Identitätsdiebstahl verwenden oder möglicherweise erpressen, wenn der Angriff gegen eine bestimmte Person oder Einrichtung gerichtet war.

    Wie geht es mit GandCrab weiter?

    Es ist wahrscheinlich, dass die Bedrohungsakteure, die hinter GandCrab stehen, den Code in den kommenden 12 Monaten weiter aktualisieren, neue Funktionen hinzufügen, Probleme ausbügeln und GandCrab als RaaS anbieten werden, um ihre Gewinne zu steigern.

    Um zu verhindern, dass diese Art von Angriffen Ihren Benutzern und Ihrem Unternehmen insgesamt Schaden zufügt, ist die Implementierung des stärksten Schutzes gegen bösartige E-Mails, Anhänge, Links und Websites entscheidend. Wir empfehlen außerdem eine starke Sicherungs- und Wiederherstellungsfunktion , um Ausfallzeiten zu minimieren. Andernfalls könnte Ihr Unternehmen nach der Zahlung des Lösegelds Geld verlieren und die Produktivität bei der Wiederherstellung nach dem Angriff beeinträchtigt werden.

    Erfahren Sie mehr darüber, wie Sie sich vor Ransomware-Angriffen schützen können:.

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang