Bitdefender entschlüsselt GandCrab und hilft Ransomware-Opfern
Zusammenarbeit mit Europol, Rumänischer Polizei, FBI und anderen Organisationen Neues Werkzeug, das Betroffenen ihre Daten wieder herstellt und Millionenbeträge erspart
Bitdefender hat ein Entschlüsselungswerkzeug für neueste Versionen der Erpressungs-Software GandCrab veröffentlicht. GandCrab ist die Ransomware, die sich derzeit weltweit am schnellsten ausbreitet. Das Tool wurde in enger Zusammenarbeit mit Europol, der rumänischen Polizei sowie mit Unterstützung des FBI und anderen Strafverfolgungsbehörden entwickelt. Es ermöglicht es den Betroffenen, verschlüsselte Informationen zurückzuerhalten, ohne dass zweistellige Millionenbeträge als Lösegeld an Hacker fließen. Das neue Werkzeug kann nun Daten entschlüsseln, die von den Versionen 1, 4 und 5 der GandCrab-Malware verschlüsselt wurden, sowie sämtliche Versionen der Ransomware, die gegen eine begrenzte Anzahl von Opfern in Syrien eingesetzt wurden.
Weitere Informationen über GandCrab und das Entschlüsselungswerkzeug können von den Webseiten der Bitdefender Labs oder NoMoreRansom heruntergeladen werden. Letzteres ist ein gemeinsames Projekt der niederländischen Polizei und Europol zur Bekämpfung von Ransomware auf EU-Ebene.
"Die Veröffentlichung dieses Entschlüsselungs-Tools ist ein spektakulärer Durchbruch. Er unterstreicht die Wirksamkeit der Zusammenarbeit zwischen IT-Security-Anbietern und Strafverfolgungsbehörden", vermeldet Bitdefender. "Wir haben Monate in die Krypto-Forschung investiert und eine umfangreiche Infrastruktur bereitgestellt, um dies zu ermöglichen. Wir wollten den Betroffenen helfen, die Kontrolle über ihr digitales Leben ohne irgendwelche Kosten zurückzugewinnen."
GandCrab ist seit Januar 2018 sehr aktiv und arbeitet nach einem "Affiliate-Modell": Die Entwickler stellen die Malware interessierten Parteien als Service zur Verfügung und erhalten dafür einen Teil des Gewinns. Die Ransomware-Familie wird über unterschiedliche Wege verbreitet. Zu den Angriffsvektoren gehören Spam-E-Mails, Exploit-Kits und zugehörige Malware-Kampagnen. Im Jahr 2018 hat GandCrab mehrere Überarbeitungen erfahren, insbesondere nachdem Bitdefender das Entschlüsselungswerkzeug für die erste Version veröffentlicht hat. Auch dafür hatte das Unternehmen bereits mit lokalen und internationalen Strafverfolgungsbehörden kooperiert. (Bitdefender: ra)
eingetragen: 20.11.18
Newsletterlauf: 28.11.18
Bitdefender: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
- Anzeigen -
![]()
Meldungen: Hintergrund
Die Experten von Kaspersky stellen eine umfassende Untersuchung aller kürzlich eingeführten Updates der Spyware FinFisher für Windows, Mac OS und Linux sowie deren Installer vor. Die Analyse dauerte acht Monate und deckt unter anderem eine vierschichtige Verschleierungstaktik und fortschrittliche Anti-Analyse-Maßnahmen auf. Darüber hinaus verfügt die Spyware nun über ein UEFI-Bootkit, um Opfer zu infizieren. Die Ergebnisse deuten darauf hin, dass FinFisher stark auf die Umgehung von Verteidigungsmaßnahmen ausgerichtet ist, was die Malware zu einer der bisher am schwersten zu identifizierenden Spionagesoftware macht. FinFisher, auch als FinSpy oder Wingbird bekannt, ist ein Überwachungs-Tool, das Kaspersky seit dem Jahr 2011 verfolgt. Die Spyware kann verschiedene Anmeldeinformationen, Dateilisten und gelöschte Dateien sowie verschiedene Dokumente sammeln, Daten per Livestreaming übertragen und aufzeichnen sowie sich Zugriff auf eine Webcam und ein Mikrofon verschaffen. Seine Windows-Implants wurden bis zum Jahr 2018 mehrfach entdeckt und untersucht, bis FinFisher verschwunden zu sein schien.
Cybereason hat eine hochgradig zielgerichtete Cyber-Spionagekampagne aufdeckt, die sich gegen globale Luft-, Raumfahrt- und Telekommunikationsunternehmen richtet. Der neue Threat-Intelligence-Report von Cybereason identifiziert unter dem Namen MalKamak einen neuen iranischen Bedrohungsakteur. Dieser agiert seit mindestens 2018 und blieb lange unentdeckt. MalKamak nutzt einen sehr ausgeklügelten und bisher nicht entdeckten Remote-Access-Trojaner (RAT) namens ShellClient. Dieser umgeht Antiviren-Tools und andere Sicherheitsvorkehrungen und missbraucht den öffentlichen Cloud-Dienst Dropbox für das sogenannte Command & Control (C2), also die Kommunikation zwischen Angreifer und Opfer-Netzwerk. Die Angriffe dauern weiterhin an. Der Bericht mit dem Titel "Operation GhostShell: Novel RAT Targets Global Aerospace and Telecoms Firms" beschreibt die unbemerkten Angriffe auf Unternehmen im Nahen Osten, den Vereinigten Staaten, Europa und Russland. Die Untersuchungen zeigen mögliche Verbindungen zu mehreren iranischen, staatlich unterstützten Angreifergruppen, darunter Chafer APT (APT39) und Agrius APT, auf. Der Bericht knüpft an die Veröffentlichung des DeadRinger-Reports von Cybereason im August an, in dem mehrere chinesische APT-Kampagnen, ebenfalls gegen Telekommunikationsanbieter, aufgedeckt wurden.
Bei der Untersuchung einer noch unbekannten Advanced Persistence Threat (APT) identifizierten Kaspersky-Forscher eine neue Malware, die mehrere wichtige Attribute aufweist, die potenziell auf eine Verbindung zum Bedrohungsakteur DarkHalo hinweist, der für den Sunburst-Angriff verantwortlich ist. Dabei handelt es sich um einen der auswirkungsreichsten Supply-Chain-Attacken der vergangenen Jahre. Der Sunburst-Sicherheitsvorfall geriet im Dezember 2020 in die Schlagzeilen: Der Bedrohungsakteur DarkHalo kompromittierte einen bekannten Anbieter von Unternehmenssoftware und nutzte dessen Infrastruktur, um unter dem Deckmantel legitimer Software-Updates Spyware zu verbreiten. Danach schien der Akteur verschwunden zu sein. Denn nach Sunburst wurden keine größeren Vorfälle mehr entdeckt, die diesem Akteur zugeschrieben werden konnten. Die Ergebnisse der jüngsten Untersuchungen des Global Research and Analysis Teams (GReAT) bei Kaspersky zeigen jedoch, dass dies nicht der Fall ist.
"Diese neue Ransomware-as-a-Service-Familie BlackMatter steckt noch in den Kinderschuhen, aber unsere Ergebnisse deuten darauf hin, dass diese Ransomware in den Händen eines erfahrenen Angreifers großen Schaden anrichten kann." Mark Loman, Director of Engineering bei Sophos. In einer neuen Analyse geben die Experten der SophosLabs einen Einblick in die Ransomware BlackMatter: demnach bestehen Ähnlichkeiten zur DarkSide Ransomware-as-a-Service (RaaS) und zu anderen Malware-Gruppen wie REvil und LockBit 2.0. Viele Funktionen sind hierbei ähnlich, Details bleiben trotzdem individuell. Wie hängen BlackMatter und die DarkSide RaaS zusammen? Sophos veröffentlicht Details, die auf den Analysen der Sophos Labs zur BlackMatter Schadsoftware beruhen, sowie auf den Erkenntnissen, die das Rapid Response Team aus einem Vorfall zog, in den BlackMatter involviert war. Die Analyse beschreibt unter anderem neue, bislang unentdeckte Funktionen der BlackMatter Ransomware, wie sie die Dateiberechtigungen für jedes verschlüsselte Dokument zurücksetzt, um der Gruppe "Jeder" vollen Zugriff zu gewähren. Darüber hinaus geht es um Details, wie die Schadware über das gesamte Netzwerk verteilt wird sowie Informationen zu den Prozessen, die vor Bereitstellung der Ransomware beendet werden.
Cloud-Sicherheitsspezialistin Barracuda hat ihren jährlichen Bericht über die Entwicklung von Ransomware-Attacken veröffentlicht. Die aktuelle Untersuchung ist bereits der dritte Report und informiert über Ransomware-Angriffsmuster, die zwischen August 2020 und Juli 2021 stattfanden. Die Analysten des Unternehmens identifizierten und analysierten 121 Ransomware-Vorfälle in besagtem Zeitraum. Dabei verzeichneten sie einen Anstieg der Angriffe um 64 Prozent im Vergleich zum Vorjahr. Demnach haben es Cyberkriminelle vor allem auf Kommunen, das Gesundheitswesen sowie Bildungseinrichtungen abgesehen. Im Grunde können Angriffe jedoch jedes Unternehmen und jede Institution treffen, denn die Angriffe nehmen in jede Richtung zu. Folgende Erkenntnisse brachte der Report zutage: Knapp die Hälfte (44 Prozent) der Angriffe in den letzten zwölf Monaten betraf US-amerikanische Unternehmen. In Deutschland waren es drei Prozent, in Österreich und der Schweiz jeweils ein Prozent.
