Das britische Cybersicherheitsunternehmen Sophos enthüllt Ragnar Locker-Ransomware-Angriff, bei dem eine virtuelle Maschine eingesetzt wird, um die Sicherheitsvorkehrungen zu umgehen.
Das Cybersicherheitsunternehmen Sophos hat Details zum Ragnar-Locker-Angriff veröffentlicht, der Unternehmen mit hohen Lösegeldforderungen ins Visier nimmt. Der Angriff nutzt eine virtuelle Maschine, um die Zielrechner zu infizieren. Dadurch kann die Sicherheit lokaler Antivirenprogramme umgangen werden.
Ragnar Locker Ransomware
Die Ransomware zielt in der Regel auf Unternehmen statt auf Privatpersonen ab und fordert hohe Lösegelder für die Entschlüsselung der Dateien. Sophos nennt in einem Bericht das Beispiel von Energias de Portugal, die zehn Terabyte Daten stahlen und 1.850 BTC (umgerechnet 14,5 Millionen US-Dollar zum aktuellen Kurs) forderten. Dem Unternehmen wurde gedroht, die Daten zu veröffentlichen, falls das Lösegeld nicht gezahlt würde.
Der Angreifer versteckt eine kleine Ransomware-Datei in einem virtuellen Image und tarnt sie als Installationsprogramm. Laut Sophos-Bericht bestand die Angriffsnutzlast aus einem 122 MB großen Installationsprogramm und einem 282 MB großen virtuellen Image – alles, um eine 49 kB große Ransomware-Datei zu verbergen.
Die Angreifer nutzen die Windows-Remotedesktopverbindung (RDP), um sich Zugang zu den Zielnetzwerken zu verschaffen. Sobald sie Administratorrechte erlangt haben, bewegen sie sich mithilfe von Windows-eigenen Tools wie PowerShell und Windows-Gruppenrichtlinienobjekten (GPOs) über das Netzwerk zu Clients und Servern.
Ransomware-Angriffe, bei denen Kryptowährung zur Entschlüsselung von Dateien gefordert wird, haben in den letzten Jahren zugenommen. Erst kürzlich hat Cryptopolitan Es wurde berichtet , dass Popstar Madonna Ziel einer Krypto-Erpressung durch REvil geworden ist. Die Angreifer wollten am 25. Mai sensible Informationen über Madonna mit einem Startgebot von einer Million US-Dollar versteigern.
