Ransomware REvil: Neue Taktiken sollen Druck auf Opfer erhöhen

Artikel ansehen

Wenn die Jungs nicht nochmal gebusted werden… wobei, solange sie keine russischen Firmen angreifen, was juckt es Russland… erst wenn der Internationale Druck auf Russland groß werden würde, könnte da was passieren. Wobei Russland auch da wahrscheinlich dementieren würde, dass es sich um Russen handelt.

Ich verstehe das gar nicht so ganz.
Die erpressen Zahnarztpraxen??
Und womit?
Wie setzt die das denn unter Druck, wenn der Zahnarzt aus dem Nachbarort Wind davon bekommt?

Die infiltrieren die Systeme von Firmen, Universitäten und co, schließen diese dann ab und erpressen Lösegeld für den Zugang der Daten, in diesem Artikel geht es darum, wie sie die Daumenschrauben noch mehr anziehen.

Ja soweit kenne ich die Vorgehensweise. Ich hatte mal darüber gelesen. Also soweit ist mir das klar.
Aber, sorry, stehe irgendwie gerade aufm Schlauch.
Warum setzt das jemanden unter Druck, wenn ein Geschäftspartner informiert wird?

Na weil das Unternehmen das dann nicht für sich behalten kann und dem womöglichen Geschäftspartner Rede und Antwort stehen muss, wie es passieren konnte, dass die Systeme übernommen wurden. Je nach Partner kann das ganz schön Kontraproduktiv für das Unterhehmen sein.

Das ist doch einfach! :wink: Weil der Geschäftspartner bestimmt nicht möchte, dass man seine eigenen Daten, die beim Opfer liegen, veröffentlicht !
In dem Augenblick, wo der Geschäftspartner informiert wird durch den Erpresser, weiß er ja auch, dass seine Daten in Gefahr sind. Vielleicht geht es bei den Daten des Geschäftspartners auch um Zugangsdaten zu seinen Datenbanken etc. pp. Da wird dann die Panik schon groß!

Ja irgendwie schon klar. Ich hab mich wahrscheinlich zu sehr am Beispiel Zahnarzt aufgehabgen

Das in den USA so viele Zahnarzt-Praxen und Zulieferer der Gesundheitsindustrie betroffen sind, ist bestimmt kein Zufall. Ich vermute, dass dahinter einfach eine Art Feldversuch der Erpressergruppen steht, um die neuen Features in REvil zu testen! Da (Zahn-) Ärzte immer gut vernetzt sind, zum Beispiel mit Laboren und der Medizintechnik, sind das natürlich auch sehr gute Testumgebungen mit einer einheitlichen Infrastruktur. :wink:

Normalerweise soll der abgesicherte Modus dabei helfen, ein angeschlagenes System zu retten. Der Erpressungstrojaner „REvil“ macht damit dem System den Garaus!!

Einen ausgefallenen, aber denoch perfiden Weg, an der installierten Antiviren-Software vorbeizukommen, nutzen aktuell die Macher des Erpressungstrojaners REvil: Nachdem sie etwa über die Exchange-Lücke, oder auf anderem Weg, in der Rechner eingedrungen sind und dabei Systemrechte erlangt haben, starten sie das System in den abgesicherten Modus von Windows, in dem z.B. der Defender nicht mehr läuft.

Sicherheitsforscher dokumentierten, dass REvil dazu mit den Kommandozeilenbefehlen:

bootcfg /raw /a /safeboot:network /id 1

bcdedit / set {current} safeboot network

…dafür sorgt, dass Windows beim nächsten Neustart automatisch in den abgesicherten Modus bootet. Dann erzwingt der Trojaner einen Neustart. Da REvil den Netzwerkmodus aktiviert hat, könnte er danach sogar weitere Schadprogramme aus dem Internet nachladen und installieren.

Der abgesicherte Modus dient normalerweise zur Ersten Hilfe bei einem „zerschossenen“ Windows. Deshalb werden viele Treiber, Hintergrunddienste, Anwendungen und administrative Skripte nicht gestartet. Zu den nicht gestarteten Diensten zählt auch der Microsoft Virenwächter Windows Defender und möglicherweise weitere Sicherheitsprogramme Dritter.

Damit der Trojaner den iniziierten Neustart selber übersteht, bedient er sich einfach den Optionen der Windows-Registry! Er schreibt sich beispielsweise in folgenden Registry-Zweig:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Jeder hier hinterlegte Eintrag wird beim nächsten Start einmal ausgeführt. Verwendet man statt „RunOnce“ den Zweig „Run“, passiert das bei jedem Start. Außerdem gibt es analoge Keys auch unter HKEY_LOCAL_MACHINE…

Ab diesem Punkt wird es noch PERFIDER! Im abgesicherten Modus werden die sogenannten „Run-Keys“ normalerweise ignoriert, defacto nicht ausgeführt.
Um diese aber trotzdem zu starten, trickst er ganz banal das Windows Betriebssystem einfach aus! Beginnt ein Eintrag mit einem * führt ihn Windows nämlich trotzdem aus.

Der Run-Key:

*blablablaaaa = „%windir%\system32\cmd.exe“

…startet beispielsweise auch bei der Anmeldung im abgesicherten Modus die Windows-Eingabeaufforderung. REvil verwendet die beiden Run-Keys *AstraZeneca und *franceisshit. Da nach diesem eingeleiteten Neustart des Systems nur der normale Benutzer-Anmeldebildschirm zu sehen ist, ahnt der User natürlich nicht, dass er sich damit im abgesicherten Modus anmeldet!
Meldet sich nun ein Anwender an, beginnt der Erpressungs-Trojaner sofort damit, Daten auf dem System zu verschlüsseln. Dies wird auch bei wiederholten Neustarts des System weiterhin fortgesetzt, wenn der Trojaner den Registry-Zweig „Run“ für seine Arbeit nutzt !!
Es ist anzunehmen, dass auch die anderen Ransomware-Schädlinge, welche aktuell grasieren, sich auch dieses Tricks annehmen werden, um zu einer höheren Effizienz zu kommen!