Cactus-Ransomware verschlüsselt sich selbst, um andere zu infizieren

Die Spezialisten von Kroll warnen vor einer neuen Ransomware. Das Schadprogramm namens ­Cactus verhält sich auf den ersten Blick wie jede andere Ransomware: Daten werden verschlüsselt und gestohlen, die Opfer werden erpresst und wenn sie nicht zahlen, drohen die Cyberkriminellen damit, Firmengeheimnisse auszuplaudern. Was diesen Schädling von den anderen unterscheidet, ist, dass er sich selbst verschlüsselt.

Es handelt sich dabei aber keineswegs um einen Schuss, der nach hinten losging. Nein, die Selbstverschlüsselung ist Absicht. So versucht Cactus, Antivirenprogramme und Netzwerk-Monitoring-Tools auszutricksen, da diese den Inhalt nicht scannen können. Die Binärdatei für die Verschlüsselung der Dateien der Opfer kommt verschlüsselt auf den infizierten Rechner.

Der Schlüssel wird in einer Datei mit einem Zufallstext mit der Bezeichnung ntuser.dat bereitgestellt. Geladen wird der Schlüssel über die Aufgabenplanung. Einmal entschlüsselt, kann der Schädling nach ­Dateien suchen und diese verschlüsseln.

Gemäss Kroll infiziert der Schädling Rechner, indem er eine bekannte Schwachstelle in VPN-Appliances von Fortinet ausnutzt. Die Firmware aktuell zu halten und das Netzwerk nach grösseren Datenabflüssen zu monitoren, sollte grösseren Schaden verhindern.

Apropos Ransomware: Der Krieg Russlands gegen die Ukraine und zunehmende Ransomware-Attacken prägen derzeit im Cyberbereich die Bedrohungslage. Der Bundesrat hält gezielte Cyberangriffe auf hiesige kritische Infrastrukturen für unwahrscheinlich, warnt aber vor Störungen aufgrund von Abhängigkeiten. Lesen Sie hier mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.