Willkommen |
|
|
|
myGully |
|
|
Links |
|
|
|
Forum |
|
|
|
|
19.07.23, 14:48
|
#1
|
|
das Muster ist das Muster
Registriert seit: Apr 2011
Ort: Schwarzwald
Beiträge: 2.893
Bedankt: 3.281
|
Neue Ransomware: Kriminelle verschlüsseln Systeme im Namen von Sophos
Zitat:
Neue Ransomware: Kriminelle verschlüsseln Systeme im Namen von Sophos
Eine vermeintliche Verschlüsselungssoftware von Sophos entpuppt sich als Bitcoin einspielender Ransomware-Dienst für kriminelle Akteure.
Cyberkriminelle missbrauchen offenbar den Namen des für seine IT-Sicherheitslösungen bekannten Herstellers Sophos, um eine neue Ransomware zu verbreiten. Wie Bleeping Computer berichtet, sind Sicherheitsforscher von Malware Hunter Team kürzlich auf eine vermeintliche Verschlüsselungssoftware namens Sophosencrypt gestoßen. Sophos selbst scheint dieses Tool jedoch weder erstellt noch veröffentlicht zu haben.
Sophosencrypt – ein Ransomware-Dienst für Kriminelle
Bei Sophosencrypt scheint es sich um ein Ransomware-as-a-Service-Angebot (RaaS) von kriminellen Akteuren zu handeln. So fordert die in der Programmiersprache Rust geschriebene und über die Kommandozeile gesteuerte Software ihre Bediener unter anderem dazu auf, ein dem Angreifer zugewiesenes Token einzugeben. Anschließend wird eine Verbindung zu einem Command-and-Control-Server (C2) hergestellt, der die Gültigkeit des Tokens überprüft.
Erst gestern veröffentlichte Sophos selbst einen Bericht über die Schadsoftware, in dem das Unternehmen darauf hinweist, dass die IP-Adresse des C2-Servers in der Vergangenheit bereits mit über das Hackertool Cobalt Strike durchgeführten Angriffen in Verbindung stand.
Hat dieser Server bestätigt, dass das Token gültig ist, so fragt Sophosencrypt weitere Informationen wie eine E-Mail-Adresse, eine Jabber-Adresse sowie ein für die Verschlüsselung genutztes 32-stelliges Passwort ab. Darüber hinaus kann der Angreifer wählen, ob er das gesamte System oder nur eine einzelne Datei verschlüsseln lassen will. Als Verschlüsselungsalgorithmus nutzt Sophosencrypt dem Ransomware-Experten Michael Gillespie zufolge AES256-CBC.
Das Lösegeld ist in Bitcoin zu bezahlen
Die Namen aller von der Schadsoftware verschlüsselten Dateien enthalten neben dem vom Angreifer eingegebenen Token ebenso die E-Mail-Adresse sowie die Dateiendung .sophos. Nach Abschluss des Verschlüsselungsvorgangs erscheint automatisch eine Lösegeldforderung, die in Form einer "information.hta" in jedem Ordner erscheint, in der es von der Software verschlüsselte Dateien gibt.
Die Lösegeldforderung enthält ebenfalls das Token und die E-Mail-Adresse des Angreifers und fordert den Benutzer des Zielsystems zur Kontaktaufnahme auf. Das Lösegeld, dessen Höhe nicht sofort genannt wird, ist demnach ausschließlich in Bitcoin zu entrichten. Für all jene, die mit dem Bitcoin-Handel nicht vertraut sind, bieten die kriminellen Akteure ihre Unterstützung beim Erwerb der Kryptowährung an.
Wie aus dem Bericht von Bleeping Computer hervorgeht, enthält die Verschlüsselungssoftware mehrere Verweise auf eine Webseite im Tor-Netzwerk. Dort soll etwa eine Art Partner-Panel für den Betrieb des Ransomware-Dienstes gehostet sein. Für das Log-in müssen die jeweiligen Akteure ihr Token sowie ein Passwort eingeben.
|
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
|
|
|
|
Die folgenden 2 Mitglieder haben sich bei ziesell bedankt:
|
|
Forumregeln
|
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
HTML-Code ist Aus.
|
|
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 07:29 Uhr.
().
|
Baum-Darstellung