{"id":270069,"date":"2022-07-04T10:55:17","date_gmt":"2022-07-04T08:55:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=270069"},"modified":"2022-07-04T11:54:33","modified_gmt":"2022-07-04T09:54:33","slug":"astralocker-2-0-infektion-per-word-anhang","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/07\/04\/astralocker-2-0-infektion-per-word-anhang\/","title":{"rendered":"AstraLocker 2.0: Infektion per Word-Anhang"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitsforscher von ReversingLabs sind einer relativ unbekannten Schadsoftware auf die Spur gekommen, die sie AstraLocker genannt haben. In der Version 2.0 sind die Angreifer dazu \u00fcbergegangen, die sch\u00e4dliche Nutzlast direkt aus einem Word-Dokument, welches als Anhang zu einer Mail mitgeliefert wird, nachzuladen. Das ist insofern ungew\u00f6hnlich, als Cyber-Angreifer in der Regel versuchen, den Angriff zu verschleiern. Die Sicherheitsforscher gehen davon aus, dass die Gruppe nur geringe F\u00e4higkeiten f\u00fcr Cyber-Angriffe habe, aber ihre Kampagnen auf Zerst\u00f6rung ausrichtet.<\/p>\n

<\/p>\n

\"\"Die Sicherheitsforscher von ReversingLabs haben ihre Erkenntnisse in diesem Dokument<\/a> ver\u00f6ffentlicht. Ich bin die Tage \u00fcber nachfolgenden Tweet auf diesen Sachverhalt gesto\u00dfen.<\/p>\n

\"AstraLocker<\/a><\/p>\n

Die neue Version der AstraLocker-Ransomware (AstraLocker 2.0) wurde erst k\u00fcrzlich von ReversingLabs im Rahmen von Phishing-Angriffen entdeckt. Die Phishing-Mails verwendeten Microsoft Word- oder Office-Dateien im Anhang als K\u00f6der f\u00fcr die Opfer. Die Analyse der Sicherheitsforscher legt nahe, dass der f\u00fcr diese Kampagne verantwortliche Bedrohungsakteur den zugrunde liegenden Code f\u00fcr AstraLocker 2.0 wahrscheinlich aus einem Leck der Babuk-Ransomware im September 2021 \u00fcbernommen hat. Zu den Verbindungen zwischen den beiden Kampagnen geh\u00f6ren gemeinsamer Code und Kampagnenmarker, w\u00e4hrend eine Monero-Wallet-Adresse, die f\u00fcr die L\u00f6segeldzahlung angegeben wurde, mit der Chaos Ransomware-Gang in Verbindung steht.<\/p>\n

Die \"Smash-and-Grab\"-Angriffsmethodik sowie andere Merkmale deuten laut Aussagen der Sicherheitsforscher darauf hin, dass die Angreifer hinter dieser Malware nur \u00fcber geringe F\u00e4higkeiten verf\u00fcgen. Ziel sei es, St\u00f6rungen zu verursachen, w\u00e4hrend Babuk und andere ausgefeiltere Ransomware-Kampagnen eher geduldig, methodisch und mit Bedacht an die Kompromittierung herangehen.<\/p>\n

AstraLocker 2.0 unterstreicht das Risiko, das f\u00fcr Unternehmen nach Codelecks wie dem von Babuk besteht, da eine gro\u00dfe Anzahl von wenig qualifizierten und hoch motivierten Angreifern den Code f\u00fcr ihre eigenen Angriffe nutzt. Details zur Analyse der Malware findet sich in diesem Dokument<\/a>.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nBabuk-Gang nutzt ProxyShell-Schwachstelle in Exchange f\u00fcr Ransomware-Angriffe<\/a>
\nAvast ver\u00f6ffentlicht Decryptor f\u00fcr AtomSilo, Babuk und LockFile<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher von ReversingLabs sind einer relativ unbekannten Schadsoftware auf die Spur gekommen, die sie AstraLocker genannt haben. In der Version 2.0 sind die Angreifer dazu \u00fcbergegangen, die sch\u00e4dliche Nutzlast direkt aus einem Word-Dokument, welches als Anhang zu einer Mail mitgeliefert … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,301],"tags":[4322,4328,3288],"class_list":["post-270069","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-windows","tag-office","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/270069","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=270069"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/270069\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=270069"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=270069"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=270069"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}