Eine neue Data Wiper-Malware namens CryWiper wurde entdeckt, die auf russische Regierungsbehörden, einschließlich Bürgermeisterämter und Gerichte, abzielt.
„Obwohl sie sich als Ransomware tarnt und von den Opfern Geld für die ‚Entschlüsselung‘ von Daten erpresst, [it] tatsächlich nicht verschlüsselt, sondern gezielt Daten im betroffenen System zerstört“, so die Kaspersky-Forscher Fedor Sinitsyn und Janis Zinchenko in einem Bericht.
Weitere Details zu den Angriffen wurden von der russischsprachigen Nachrichtenpublikation Izvestia veröffentlicht. Die Angriffe wurden bisher keiner bestimmten Gruppe von Angreifern zugeschrieben.
CryWiper ist eine C++-basierte Malware, die so konfiguriert ist, dass sie über eine geplante Aufgabe Bestand hat und mit einem Command-and-Control-Server (C2) kommuniziert, um die bösartige Aktivität zu initiieren.
Neben der Beendigung von Prozessen im Zusammenhang mit Datenbank- und E-Mail-Servern verfügt die Malware auch über die Fähigkeit, Schattenkopien von Dateien zu löschen und die Windows-Registrierung zu ändern, um RDP-Verbindungen zu verhindern, was wahrscheinlich den Versuch darstellt, die Reaktion auf Vorfälle zu behindern.
Im letzten Schritt beschädigt der Wiper alle Dateien mit Ausnahme derer mit den Erweiterungen „.exe“, „.dll“, „lnk“, „.sys“ und „.msi“ und überspringt dabei auch bestimmte Verzeichnisse, darunter C:\Windows, Boot und tmp, die den Rechner ansonsten funktionsunfähig machen könnten.
Die mit Datenmüll überschriebenen Dateien werden anschließend mit der Erweiterung „.CRY“ versehen, woraufhin eine Lösegeldforderung eingeblendet wird, um den Eindruck zu erwecken, dass es sich um ein Ransomware-Programm handelt, das das Opfer auffordert, 0,5 Bitcoin zu zahlen, um den Zugriff wiederherzustellen.
„Die Aktivität von CryWiper zeigt einmal mehr, dass die Zahlung des Lösegelds keine Garantie für die Wiederherstellung von Dateien ist“, so die Forscher, die darauf hinweisen, dass die Malware „absichtlich den Inhalt von Dateien zerstört“.
CryWiper ist der zweite Wiper-Malware-Stamm, der auf Russland abzielt, nach RURansom, einem .NET-basierten Wiper, der Anfang März dieses Jahres bei Unternehmen in Russland gefunden wurde.
Im Rahmen des anhaltenden Konflikts zwischen Russland und der Ukraine wurden mehrere Wiper eingesetzt, wobei letztere mit einer breiten Palette von Malware wie WhisperGate, HermeticWiper, AcidRain, IsaacWiper, CaddyWiper, Industroyer2 und DoubleZero angegriffen wurde.
„Wiper können unabhängig von den technischen Fähigkeiten des Angreifers wirksam sein, da selbst der einfachste Wiper auf den betroffenen Systemen verheerenden Schaden anrichten kann“, so Trellix-Forscher Max Kersten in einer Analyse destruktiver Malware im vergangenen Monat.
„Der Zeitaufwand für die Erstellung einer solchen Malware ist gering, vor allem im Vergleich zu komplexen Spionage-Backdoors und den oft begleitenden Sicherheitslücken, die genutzt werden. Die Investitionsrendite muss in diesen Fällen nicht hoch sein, auch wenn es unwahrscheinlich ist, dass ein paar Wipers für sich genommen so viel Schaden anrichten können.“
Fanden Sie diesen Artikel interessant? Folgen Sie uns auf Twitter und LinkedIn, um weitere exklusive Inhalte von uns zu lesen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
Wenn Attraktivität riskant wird – Wie sieht Ihre Angriffsfläche für einen Angreifer aus?