Aktuelles, Branche - geschrieben von dp am Dienstag, November 12, 2024 12:14 - noch keine Kommentare
Ymir: Kaspersky warnt vor neuentdeckter Ransomware
„Ymir“ nutzt fortschrittliche Verschleierungs- und Verschlüsselungsmethoden
[datensicherheit.de, 12.11.2024] Laut einer Mitteilung von Kaspersky hat das eigene „Global Emergency Response Team“ eine neue Ransomware-Variante entdeckt, welche im Rahmen eines zielgerichteten Angriffs nach dem Diebstahl von Mitarbeiterzugangsdaten zum Einsatz gekommen sei: „,Ymir’ nutzt fortschrittliche Verschleierungs- und Verschlüsselungsmethoden; so verschlüsselt sie bestimmte Dateien auf einer Whitelist nicht, um einer Entdeckung zu entgehen.“ Weiterhin wendet sie demnach eine Kombination von Speicher-Manipulationstechniken an, um Schadcode direkt im Speicher auszuführen.
„Ymir“-Angriff ging Einsatz eines „Infostealers“ voraus
Die „Ymir“-Ransomware kombiniere besondere technische Merkmale und Taktiken, welche ihre Wirksamkeit steigerten. „Angreifer nutzten eine ungewöhnliche Kombination von Speicherverwaltungsfunktionen – ,malloc’, ,memmove’ und ,memcmp’ –, um Schadcode direkt im Speicher auszuführen. Dieser Ansatz weicht vom typischen Ablauf anderer Ransomware ab und verbessert so die Verschleierung. Mit der ,–path’-Kommandozeile können die Angreifer zudem gezielt festlegen, in welchem Verzeichnis die Ransomware nach Dateien sucht.“ Dateien auf der Whitelist würden dabei übersprungen und nicht verschlüsselt, was den Angreifern gezielte Kontrolle über die Verschlüsselung ermögliche.
Dem Ransomware-Angriff sei ein Einsatz eines „Infostealers“ vorausgegangen: „Im von Kaspersky beobachteten Angriff nutzten die Angreifer ,RustyStealer’, um Zugangsdaten von Mitarbeitern zu stehlen. Damit konnten sich die Angreifer Zugriff auf die Systeme des Unternehmens verschaffen und lange genug die Kontrolle behalten, um in einem weiteren Schritt die Ransomware zu installieren.“ Diese Art von Angriff sei als „Initial Access Brokerage“ bekannt, „bei dem die Angreifer in Systeme eindringen und einen Zugang längerfristig sicherstellen“. Normalerweise verkauften „Initial Access Broker“ solch einen Zugang im sogenannten DarkWeb an andere Cyber-Kriminelle weiter; in diesem Fall schienen die Angreifer jedoch selbst aktiv geworden zu sein und die Ransomware direkt eingesetzt zu haben.
„Ymir“-Ransomware-Gruppe bislang noch nicht identifiziert
Die Ransomware verwende „ChaCha20“, ein modernes Strom-Chiffre-Verfahren, welches für seine Geschwindigkeit und Sicherheit bekannt sei und sogar den „Advanced Encryption Standard“ (AES) in einigen Aspekten übertreffe. „Wenn die ,Initial Access Broker’ tatsächlich dieselben Akteure sind, die die Ransomware installiert haben, könnte dies der Beginn eines neuen Trends sein, der ohne traditionelle Ransomware-as-a-Service-(RaaS)-Gruppen auskommt“, so Cristian Souza, „Incident Response Specialist“ im „Kaspersky Global Emergency Response“-Team.
Sie führt weiter aus: „Wir haben bisher keine neuen Ransomware-Gruppen auf dem Untergrundmarkt entdeckt. Üblicherweise nutzen Angreifer Schattenforen oder Portale, um Informationen zu leaken und so Druck auf die Betroffenen auszuüben, damit sie das Lösegeld zahlen. Bei ,Ymir’ ist dies jedoch bisher nicht der Fall. Daher bleibt unklar, wer hinter der Ransomware steckt.“
Neue Ransomware nach „irregulärem“ Saturnmond Ymir benannt
Bei der Namenswahl für diese neue Ransomware entschieden sich die Kaspersky-Experten nach eigenen Angaben für den Saturnmond Ymir. Dieser sei ein „irregulärer“ Mond, welcher sich entgegen der Rotation des Planeten bewege – ein Merkmal, „das auf den unkonventionellen Einsatz von Speicherverwaltungsfunktionen in der neuen Ransomware widerspiegelt“. Kaspersky-Produkte sollen diese Ransomware als „Trojan-Ransom.Win64.Ymir.gen“ erkennen.
Kaspersky-Empfehlungen zur Prävention von Ransomware-Angriffen:
- Regelmäßig Backups erstellen und diese testen!
- Mitarbeiterschulungen zur Cyber-Sicherheit durchführen, um das Bewusstsein für Bedrohungen wie Daten stehlende Malware zu erhöhen und effektive Schutzstrategien zu vermitteln!
- Bei einem Ransomware-Befall und fehlender Entschlüsselungsmöglichkeit sollten kritische, verschlüsselte Dateien aufbewahrt werden. Eine Lösung zur Entschlüsselung könnte später durch fortlaufende Forschungsbemühungen oder die Ergreifung der Täter durch Behörden verfügbar werden!
- Es wird empfohlen, kein Lösegeld zu zahlen, da dies die Täter zu weiteren Angriffen ermutigen könnte und keine Garantie für die sichere Wiederherstellung der Daten bietet!
- Umfassende Lösungen (wie z.B. „Kaspersky Next“) bieten Echtzeitschutz, Transparenz von Bedrohungen, Untersuchungen und die Reaktionsmöglichkeiten von EDR und XDR für Unternehmen jeder Größe und Branche!
- „Managed Security Services“ nutzen, welche alle Bereiche eines Angriffs abdecken – von der Entdeckung bis zur Beseitigung (Kaspersky bietet beispielsweise „Compromise Assessment“, „Managed Detection and Response“ und „Incident Response“ an)!
Weitere Informationen zum Thema:
SECURELIST by Kaspersky, Cristian Souza & Ashley Muñoz & Eduardo Ovalle, 11.11.2024
Ymir: new stealthy ransomware in the wild
golem.de, Hanno Böck, 23.06.2016
RFC 7905: ChaCha20-Verschlüsselung für TLS standardisiert
Aktuelles, Experten - Nov 20, 2024 21:07 - noch keine Kommentare
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
weitere Beiträge in Experten
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
Aktuelles, Branche, Studien - Nov 20, 2024 20:59 - noch keine Kommentare
Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
weitere Beiträge in Branche
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
- NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren