Business Security, Verschlüsselung & Datensicherheit

Ransomware LockerGoga zielt auf Industriebetriebe in Europa

Die Sicherheitsexperten von Palo Alto Networks meldeten aktuell Aktivitäten zu Ransomware-Attacken namens LockerGoga. Ziel der Angriffe waren dabei Industrieunternehmen in Europa, die große Schäden hinnehmen mussten.

Mehrere Varianten der Erpressersoftware entdeckt

Die Ransomware wurde erstmals im Januar von Bleeping Computer gemeldet, in Verbindung mit einem Angriff auf das französische Engineering-Unternehmen Altran Technologies, wie infiópoint-security.de dazu berichtete. Inzwischen wurden mehrere Varianten in freier Wildbahn gefunden, die kürzlich bei Angriffen gegen den norwegischen Aluminiumhersteller Norsk Hydro und die zwei Chemieunternehmen Hexicon und Momentive eingesetzt wurden.

Palo Alto Networks überprüfte Malware-Proben von diesen Angriffen und fand Beweise, um die Herkunft des Bedrohungsnamens in Frage zu stellen. „LockerGoga“ wurde aus einer Zeichenkette entnommen, die nirgendwo im Code des ursprünglichen Angriffs auf Altran existierte. Den Forschern gelang es zwar, diese Zeichenkette in früheren Ransomware-Varianten zu finden, die von Symantec als „Ransom.GoGalocker“ identifiziert wurden, aber nicht in dem Sample, das im Bericht von Bleeping Computer beschrieben wurde. Um Verwirrung zu vermeiden, wird Palo Alto Networks weiterhin den Namen LockerGoga verwenden und verweist damit auf die erste Variante und ihre Vorgänger. Die Forscher von Palo Alto Networks haben mittlerweile bereits 31 Ransomware-Samples identifiziert, die in Verhalten und Code der ersten Variante ähnlich sind.

Die Funktionsweise von LockerGoga

Derzeit unterstützt LockerGoga keine wurmartigen Funktionen, die es der Malware ermöglichen würden, sich selbst zu verbreiten, indem sie zusätzliche Hosts in einem Zielnetzwerk infiziert. Palo Alto Networks hat beobachtet, wie LockerGoga sich in einem Netzwerk über das Server Message Block (SMB)-Protokoll bewegt, was zeigt, dass die Akteure Dateien einfach manuell von Computer zu Computer kopieren.

Das näher untersuchte Sample der aktuellen Angriffe benötigt Administratorrechte, um erfolgreich ausgeführt zu werden, wobei der spezifische Mechanismus für die initiale Codeausführung unbekannt ist. Sobald es ausgeführt wird, versucht es, Dateien auf dem infizierten Computer und allen angeschlossenen Festplatten zu verschlüsseln. Anschließend hinterlässt es eine Lösegeldnotiz auf dem Desktop des Benutzers, die eine E-Mail-Adresse enthält, an die er sich offensichtlich wenden kann, um Entschlüsselungs- und Zahlungsmodalitäten in Erfahrung zu bringen.

Neue Funktionen machen Ransomware noch gefährlicher

Das erste Sample von LockerGoga wurde in der Programmiersprache C++ geschrieben. Die Akteure griffen auf öffentlich zugängliche Bibliotheken wie Boost, Cryptopp und regex zurück. Zum jetzigen Zeitpunkt ist klar, dass die Entwickler zuletzt weiterhin Funktionen hinzugefügt haben und die Akteure neue Angriffe starteten. Das Hinzufügen von WS2_32.dll und die Verwendung von nicht-dokumentierten Windows-API-Aufrufen deutet auf ein Niveau an, das über das hinausgeht, was typische Ransomware-Autoren zu bieten haben. Ersteres könnte zu einer eventuellen Einbeziehung der C2-Kommunikation oder automatisierten Verbreitung führen, und letzteres erfordert detailliertere Grundkenntnisse zum Innenleben von Windows. Derzeit ist nicht bekannt, ob eines der Opferunternehmen das Lösegeld bezahlt hat und seine Daten erfolgreich entschlüsseln konnte. Bekannt ist jedoch, dass diese Ransomware bereits erhebliche Schäden verursacht hat. Der Schaden könnte deutlich zunehmen, wenn die Angreifer ihre Ransomware weiter verfeinern.

Palo Alto Networks hat seine Ergebnisse, einschließlich Dateiproben und Kompromittierungsindikatoren, an die Partner der Cyber Threat Alliance weitergegeben. CTA-Mitglieder nutzen diese Informationen, um ihren Kunden schnell Schutzmaßnahmen anzubieten und böswillige Cyberakteure systematisch außer Gefecht zu setzen.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben