Neue Lösegeldwaffe setzt die Methode des „Never-Before-Seen-Angriffs“ ein

Eine in Großbritannien ansässige Cybersicherheitsfirma enthüllte neue Details des Lösegeldangriffs von Ragnar Locker, bei dem eine VirtualBox-Anwendung verwendet wird.

Eine neue Studie warnt vor einer neuen Methode des Lösegeldangriffs auf Bitcoin Future, bei der eine virtuelle Maschine auf Zielcomputern ausgeführt wird, um sie mit der Lösegeldforderung zu infizieren. Dadurch kann der Angriff außerhalb der Reichweite der lokalen Antiviren-Software des Computers ablaufen.

Laut dem in Großbritannien ansässigen Cybersicherheitsunternehmen Sophos ist der Ragnar Locker-Angriff bei der Auswahl seiner Opfer sehr selektiv. Die Ziele von Ragnar Locker sind in der Regel eher Unternehmen als einzelne Benutzer.

Gewinne auf Bitcoin Future erzielen

Fast 1.850 BTC als Lösegeld in einem einzigen Angriff gefordert

Ragnar Locker bittet die Opfer um große Geldsummen, um ihre Dateien zu entschlüsseln. Es droht auch mit der Freigabe sensibler Daten, wenn die Benutzer das Lösegeld nicht zahlen.

Sophos nannte das Beispiel des Netzwerks von Energias de Portugal, das zehn Terabyte an sensiblen Daten gestohlen hat und die Zahlung von 1.850 Bitcoin (BTC) fordert, um die Daten nicht zu filtern. 1.850 BTC sind nach dem Stand der Presse etwa 11 Millionen Dollar wert.

Der Modus operandi der Lösegeldforderung besteht darin, Schwachstellen in der Windows Remote-Desktop-Anwendung auszunutzen, durch die sie Zugriff auf den Computer auf Administratorebene erhalten.

Mit den erforderlichen Berechtigungen konfigurieren die Angreifer die virtuelle Maschine für die Interaktion mit den Dateien. Dann starten sie die virtuelle Maschine und führen eine abgespeckte Version von Windows XP namens „Micro XP v0.82“ aus.

Lösegeldtaktiken werden immer „heimtückischer und extremer“

Im Gespräch mit Cointelegraph gab Brett Callow, Bedrohungsanalyst im Malware-Labor Emsisoft, weitere Einzelheiten zu Ragnar Locker:

„Kürzlich wurde beobachtet, dass die Betreiber die Lösegeldforderung von einer virtuellen Maschine aus starten, um der Entdeckung durch Sicherheitsprodukte zu entgehen. Wie andere Ransomware-Gruppen stiehlt auch Ragnar Locker Daten und nutzt die Drohung mit deren Veröffentlichung als zusätzliches Druckmittel, um Zahlungen zu erpressen. Sollte das Unternehmen nicht zahlen, werden die gestohlenen Daten auf der Tor-Site der Gruppe veröffentlicht“.

Callow behauptet, dass die von den Lösegeld-Gruppen angewandten Taktiken immer „heimtückischer und extremer“ werden, wenn man bedenkt, dass die hinter Ragnar Locker stehenden Lösegeld-Banden nun drohen, die Daten an die Konkurrenten des Opfers zu verkaufen oder sie für Angriffe auf ihre Kunden und Geschäftspartner zu verwenden.

Der Bedrohungsspezialist von Emsisoft ergänzt:

„Unternehmen in dieser Situation stehen keine guten Optionen zur Verfügung. Selbst wenn das Lösegeld bezahlt wird, lassen sie sich einfach von einem bösgläubigen Akteur ein kleines Versprechen geben, dass die gestohlenen Daten gelöscht und nicht missbraucht werden.

Jüngste Lösegeld-Angriffe

Am 10. Mai berichtete Cointelegraph über eine Studie der Group-IB, die eine andere Art von Lösegeldforderungen aufdeckte, bei denen Banktrojaner für Angriffe auf Regierungen und Unternehmen eingesetzt werden und die in der Cybersicherheitsgemeinschaft und beim FBI die roten Fahnen hissten.

Eine Lösegeld-Gang namens REvil drohte kürzlich auch damit, fast 1 TB an privaten Rechtsgeheimnissen von den größten Musik- und Filmstars der Welt, wie Lady Gaga, Elton John, Robert DeNiro, Madonna und anderen, zu veröffentlichen.