Neues Ransomware-Tool soll Dateien vernichten statt verschlüsseln
Forschende haben ein unfertiges Ransomware-Tool entdeckt, das Dateien nach dem Diebstahl nicht verschlüsseln, sondern vernichten soll. Dieses Vorgehen könnte der Versuch eines unzufriedenen Ransomware-Kunden sein, sich zu verselbstständigen und nicht mehr von Service-Anbietern abhängig zu sein.
Malware-Analysten der Cybersecurity-Firma Cyderes Special Operations haben ein neues Ransomware-Tool entdeckt, das einen Hinweis auf eine Änderung der Angriffstaktik von Ransomware-Banden sein könnte. Konkret geht es um die Malware "Exmatter", die Angreifer für die Entwendung von Daten verwenden. Ein neues Tool in der Malware verschlüsselt die Dateien nach dem Kopieren nicht, sondern zerstört sie, wie "Bleepingcomputer" schreibt.
Das neuentdeckte Tool kopiere ein zufälliges Segment einer Datei, um es an den Anfang der vorherigen Datei in einer Warteschlage zu setzen. Das überschreibe und beschädige die erstere Datei. Der Vorteil gegenüber klassischen Ransomware-Attacken: Eine Entschlüsselung der betroffenen Dateien vor der Lösegeld-Zahlung wird damit verunmöglicht. Die Opfer erhalten nur noch Zugriff auf ihre Dateien, wenn die Angreifer ihre Kopien freigeben.
Verselbstständigung dank neuem Vorgehen
Doch gibt es dem Bericht zufolge Hinweise darauf, dass sich das Tool erst im Entwicklungsstadium befindet. Der Grund, weshalb einige Kriminelle vermutlich ihre Strategie ändern wollen, liegt laut den Forschenden des Cybersecurity-Unternehmens an Fehlern in der Malware der Ransomware-Anbieter. Diese erlaubten in der Vergangenheit die Entschlüsselung von Dateien, bevor die Opfer ein Lösegeld zahlten. Das ist ein Problem für die Anbieter von Ransomware-as-a-Service wie auch für ihre Kundschaft, die auf diese Malware setzt.
Die Anbieter stellen oftmals die Ransomware und führen die Verhandlungen, während sich ihre Kundschaft den aktiveren Aufgaben annimmt und sich Zugang zu den Firmenservern verschafft, um Daten zu stehlen, die Malware zu implementieren und Backups zu löschen. Das bedeutet für die Ransomware-Kundschaft, dass sie die Gewinne bei Erfolg teilen muss - oder bei verfrühter Entschlüsselung gar nichts erhält wegen eines Fehlers im Produkt des Malware-Providers. Möglicherweise möchte sich deshalb ein Ransomware-Kunde mit der neuen destruktiven Malware-Variante verselbstständigen, mutmassen die Forschenden.
Die Malware "Exmatter", bei der das neue destruktive Ransomware-Tool entdeckt wurde, steht mit der Ransomware-Bande "Blackmatter" in Verbindung. Die Gruppe hat sich in der Vergangenheit bereits vieler Namen bedient - zuletzt dem Namen "ALPHV", wie Sie hier nachlesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Microsoft präsentiert kleines KI-Modell für Smartphones & Co.
Der Beitrag generativer künstlicher Intelligenz zu Web Accessibility
Forschende kreieren Exploits per GPT-4
Update: Die .swiss-Domain ist für alle verfügbar
In Österreich wäre die Krosse Krabbe dran
Lenovo lanciert mobile Workstations mit KI
Gobugfree lanciert kostenloses VDP
visiONstage – wo Business auf Zukunft trifft
Update: Tiktoks letzte Stunde könnte bald in den USA schlagen
