[English]Sicherheitsforscher von ReversingLabs sind einer relativ unbekannten Schadsoftware auf die Spur gekommen, die sie AstraLocker genannt haben. In der Version 2.0 sind die Angreifer dazu übergegangen, die schädliche Nutzlast direkt aus einem Word-Dokument, welches als Anhang zu einer Mail mitgeliefert wird, nachzuladen. Das ist insofern ungewöhnlich, als Cyber-Angreifer in der Regel versuchen, den Angriff zu verschleiern. Die Sicherheitsforscher gehen davon aus, dass die Gruppe nur geringe Fähigkeiten für Cyber-Angriffe habe, aber ihre Kampagnen auf Zerstörung ausrichtet.
Anzeige
Die Sicherheitsforscher von ReversingLabs haben ihre Erkenntnisse in diesem Dokument veröffentlicht. Ich bin die Tage über nachfolgenden Tweet auf diesen Sachverhalt gestoßen.
Die neue Version der AstraLocker-Ransomware (AstraLocker 2.0) wurde erst kürzlich von ReversingLabs im Rahmen von Phishing-Angriffen entdeckt. Die Phishing-Mails verwendeten Microsoft Word- oder Office-Dateien im Anhang als Köder für die Opfer. Die Analyse der Sicherheitsforscher legt nahe, dass der für diese Kampagne verantwortliche Bedrohungsakteur den zugrunde liegenden Code für AstraLocker 2.0 wahrscheinlich aus einem Leck der Babuk-Ransomware im September 2021 übernommen hat. Zu den Verbindungen zwischen den beiden Kampagnen gehören gemeinsamer Code und Kampagnenmarker, während eine Monero-Wallet-Adresse, die für die Lösegeldzahlung angegeben wurde, mit der Chaos Ransomware-Gang in Verbindung steht.
Die "Smash-and-Grab"-Angriffsmethodik sowie andere Merkmale deuten laut Aussagen der Sicherheitsforscher darauf hin, dass die Angreifer hinter dieser Malware nur über geringe Fähigkeiten verfügen. Ziel sei es, Störungen zu verursachen, während Babuk und andere ausgefeiltere Ransomware-Kampagnen eher geduldig, methodisch und mit Bedacht an die Kompromittierung herangehen.
Anzeige
AstraLocker 2.0 unterstreicht das Risiko, das für Unternehmen nach Codelecks wie dem von Babuk besteht, da eine große Anzahl von wenig qualifizierten und hoch motivierten Angreifern den Code für ihre eigenen Angriffe nutzt. Details zur Analyse der Malware findet sich in diesem Dokument.
Ähnliche Artikel:
Babuk-Gang nutzt ProxyShell-Schwachstelle in Exchange für Ransomware-Angriffe
Avast veröffentlicht Decryptor für AtomSilo, Babuk und LockFile
Anzeige
Andere wollen eben auch ein Stück vom Kuchen abhaben.
Aber, wenn die Angreifer wie angegeben so wenig Ahnung haben, werden sie sicher auch schnell Fehler machen und auffliegen.
Früher(tm) gab es doch mal so reine "Viewer" für die properitären MS-Formate ala "Doc-viewer".
Wo ist der hin?
Und wieso?
Moin,
passt hierzu:
https://www.borncity.com/blog/2017/11/20/microsoft-office-viewer-werden-2017-2018-eingestellt/
Mfg,
Blackii
Viewer wurden aus Sicherheitsgründen eingestellt – da deren Pflege und Patches zu aufwändig wurden.
neu ist das nicht. ich habe da schon so quatsch erlebt das eine exe direkt als text im word dokument stand und mittels ein wenig vba dann neu gespeichert und ausgeführt wurde.
der textschrift war weiss so das dass dokument oberflächlich leer aussah.
in den custom document properties steht sowas manchmal auch oder eben ole.