Skip to content
View in the app

A better way to browse. Learn more.

hosang I.T.

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Neue Ransomware-Bedrohung zielt auf deutsche Unternehmen

Ransomware

Suttipun – shutterstock.com

Sicherheitsexperten haben kürzlich festgestellt, dass die Ransomware-Gruppe Jolly Scorpius ihren RaaS-(Ransomware as a Service)-Dienst Ransomhouse massiv verbessert hat. Wie das Threat-Intelligence-Team von Palo Alto Networks berichtet, nutzt die Gruppe jetzt ein fortschrittliches duales Verschlüsselungssystem.

Die Angriffe basieren auf einer aktualisierten Version des Verschlüsselungs-Trojaner mit dem Codenamen „Mario“. Der Trojaner verwendet dabei nicht nur einen, sondern zwei separate Schlüssel. Der primäre Schlüssel umfasst 32 Byte, während der sekundäre Schlüssel acht Byte hat. Dadurch ist es nahezu unmöglich, die Daten wiederherzustellen.

Dabei kommt ein spezielles Tool namens „MrAgent“ zum Einsatz, um Attacken auf VMware ESXi-Hypervisoren zu automatisieren. „Mit MrAgent haben die Angreifer ihre Fähigkeiten massiv erweitert“, erklärt Andy Schneider, CISO bei Palo Alto Networks gegenüber CSO. Damit können sie Firewalls neutralisieren und ganze Hypervisor-Cluster in großem Umfang verschlüsseln, was innerhalb von Minuten zu maximalen Störungen führt.“

Deutschland als Hauptziel

Darüber hinaus bleibt auch die Taktik mit der doppelten Erpressung bestehen: Neben der Verschlüsselung der Systeme werden auch sensible Daten gestohlen. Palo Alto Networks zufolge haben es die Cyberkriminellen mit ihrer neuen Kampagne vor allem auf deutsche Unternehmen mit VMware-Infrastruktur abgesehen.

Schneider geht davon aus, dass Deutschland aufgrund seiner besonderen Infrastrukturlandschaft derzeit ein attraktives Ziel darstellt. „Im Gegensatz zu Märkten, die Public-Cloud-Strategien umfassender übernommen haben, setzen viele deutsche Unternehmen – insbesondere aus der Industrie und Technologiebranche – weiterhin stark auf eigene Rechenzentren“, erklärt er. „Diese werden von VMware dominiert.“

Der Experte verweist darauf, dass sich dieser Trend bereits in den jüngsten Angriffen auf deutsche Unternehmen in der Fertigung, der Luft- und Raumfahrt sowie der Produktion gezeigt hat. „Diese hohe Konzentration von ESXi-Infrastruktur macht die deutsche Industrie zu einem ertragreichen, effizienten Ziel für Ransomhous.“

Um sich vor solchen Angriffen zu schützen, empfehlen einige Sicherheitsexperten Unternehmen, ihre Verteidigungsstrategien anzupassen. Dazu zählen beispielsweise die Härtung virtualisierter Umgebungen, unveränderliche Backups und strenge Netzsegmentierung.

Keine herkömmliche Ransomware-Bande

Die Gruppe Jolly Scorpius unterscheidet sich in ihrem Auftreten von herkömmlichen Ransomware-Banden. Wie der CISO von Palo Alto Networks unterstreicht, geben sich die Akteure oft als „Sicherheitsauditoren” und nicht als reine Cyberkriminelle aus. „Sie behaupten, Schwachstellen aufzudecken, die durch schlechte Sicherheitspraktiken verursacht wurden, während sie rücksichtslose Doppel-Erpressungsangriffe durchführen.“

Laut Schneider lässt sich die Gruppe trotz ihrer professionellen Fassade mit russischsprachigen Ursprüngen in Verbindung bringen (insbesondere mit der „Babuk”-Codefamilie). „Die Auswahl ihrer Ziele steht oft im Einklang mit allgemeinen geopolitischen Spannungen. Indem sie sich auf kritische Lieferketten und Infrastrukturen in NATO-Ländern wie Deutschland konzentriert, profitiert sie von einem toleranten Umfeld in ihrer Heimatregion.“

View the full article

User Feedback

Recommended Comments

There are no comments to display.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Add a comment...

Account

Navigation

Search

Search

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.