{"id":227929,"date":"2020-02-07T00:16:00","date_gmt":"2020-02-06T23:16:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227929"},"modified":"2020-02-06T18:59:08","modified_gmt":"2020-02-06T17:59:08","slug":"neue-savethequeen-ransomware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/02\/07\/neue-savethequeen-ransomware\/","title":{"rendered":"Neue .SaveTheQueen Ransomware"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\"\/>Die Cyber-Kriminellen haben Humor und lassen sich vom Brexit animieren. Sicherheitsforscher von Varonis identifizieren einen neuen Ransomware-Typ, der die Dateien mit der Dateinamenerweiterung <em>.SaveTheQueen <\/em>verschl\u00fcsselt. Der Verschl\u00fcsselungstrojaner zielt auf den SYSVOL-Ordner der Dom\u00e4nencontroller.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg01.met.vgwort.de\/na\/abc0945da6564722954439984b93de2e\" width=\"1\" height=\"1\"\/>Sicherheitsforscher von Varonis Systems Inc. haben einen neuen Stamm fortschrittlicher Ransomware identifiziert. Einer der Varonis-Kunden kontaktierte den Anbieter, als er nach einer Infektion mit einer entsprechenden L\u00f6segeldforderung zur Entschl\u00fcsselung konfrontiert wurde. Die Ransomware versieht die verschl\u00fcsselten Dateien mit der Endung .SaveTheQueen und wurde bereits <a href=\"https:\/\/dissectingmalwa.re\/god-save-the-queen-cause-ransom-is-money-savethequeen-encryptor.html\" target=\"_blank\" rel=\"noopener noreferrer\">hier diskutiert<\/a>. <\/p>\n<h3>Ransomware nutzt SYSVOL-Freigabe auf dem Dom\u00e4nencontroller <\/h3>\n<p>Dabei nutzen die Angreifer die SYSVOL-Freigabe auf dem Dom\u00e4nencontroller des Opfers, um die Malware lateral zu verbreiten und den Verlauf der Ausbreitung in der Dom\u00e4ne verfolgen zu k\u00f6nnen. <\/p>\n<p>Nach Einsch\u00e4tzung der Experten ist der Next-Generation-Kryptotrojaner durch die Verwendung des betroffenen Dom\u00e4nencontroller (um die Malware zu verbreiten) und PowerShell (um die Malware zu \u00f6ffnen und auszuf\u00fchren) darauf ausgelegt, ganze Unternehmens-Infrastrukturen lahmzulegen. Dies scheint f\u00fcr die Cyberkriminellen die lukrativste Strategie zu sein, da sie durch den Zugriff auf das Domain-Administratorkonto auch andere M\u00f6glichkeiten eines Angriffs h\u00e4tten, wie Kryptojacking oder Datendiebstahl.  <\/p>\n<p>SYSVOL ist ein zentraler Ordner auf jedem Dom\u00e4nencontroller, der f\u00fcr die Bereitstellung von Richtlinien (GPO) und Anmeldeskripts auf Dom\u00e4nen-Workstations verwendet wird. Der Inhalt des SYSVOL-Ordners wird zwischen den Dom\u00e4nencontrollern repliziert, um die Daten synchron zu halten. Das Schreiben in SYSVOL erfordert entsprechend hohe Dom\u00e4nenberechtigungen. Wenn diese jedoch kompromittiert werden, ist dies ein leistungsstarkes Werkzeug f\u00fcr Angreifer, die es zur schnellen Verbreitung b\u00f6sartiger Inhalte in der Dom\u00e4ne verwenden k\u00f6nnen. Folglich bringt die Kontrolle \u00fcber ein Domain-Administratorkonto Angreifern eine Vielzahl an M\u00f6glichkeiten f\u00fcr kriminelle Aktivit\u00e4ten. So w\u00e4ren sie auch in der Lage gewesen, gezielt nach wertvollen Informationen zu suchen oder Unternehmensressourcen f\u00fcr Kryptomining zu kapern.  <\/p>\n<p>W\u00e4hrend die eigentliche Ransomware relativ konventionell agiert, nutzen die Malware-Entwickler Active Directory auf kreative Art und Weise zur Verbreitung des Droppers. Insofern stellt dieser neue Verschl\u00fcsselungstrojaner ein erhebliches Gefahrenpotenzial dar und unterstreicht j\u00fcngste Beobachtungen, die darauf hindeuten, dass auch Ransomware immer ausgefeilter wird. Weitere Informationen zur Malware finden sich in <a href=\"https:\/\/www.varonis.com\/blog\/save-the-queen-ransomware\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Blog-Beitrag<\/a>.&nbsp;&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Cyber-Kriminellen haben Humor und lassen sich vom Brexit animieren. Sicherheitsforscher von Varonis identifizieren einen neuen Ransomware-Typ, der die Dateien mit der Dateinamenerweiterung .SaveTheQueen verschl\u00fcsselt. Der Verschl\u00fcsselungstrojaner zielt auf den SYSVOL-Ordner der Dom\u00e4nencontroller.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-227929","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227929","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=227929"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227929\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=227929"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=227929"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=227929"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}