Das Darknet Threat Intelligence Actice Monitoring System untersucht und analysiert verschiedene Websites und Foren im Darknet, dadurch sind die Kaspersky-Forscher auf eine Werbung für eine neue Ransomware aufmerksam geworden. Die von der unbekannten Gruppe Luna beworbene Software ist nicht nur in der Lage ganze Systeme zu verschlüsseln, sondern auch spezifische Dateien.
Nach dem erfolgreichen Angriff wird an dem infizierten Gerät eine fest einkodierte Lösegeldforderung angezeigt. Aufgrund der angewendeten russischsprachigen Werbung im Forum und den in der Forderung vorhandenen Rechtschreibfehler lässt sich vermuten das Luna eine russische Gruppierung ist.
Diese neue Schadsoftware bestätigt den bereits sichtbaren Trend zu Plattform übergreifender Ransomware. In den vergangenen Jahren begannen viele Gruppierungen mit der Verwendung von Rust, Golang oder C++ als Programmiersprache, bekannte Beispiele sind hier Blackcat oder Hive.
Black-Basta
Eine weitere recht neue Ransomware Variante ist „Black Basta“, die in C++ programmiert und im Februar 2022 entdeckt wurde. Zu dieser Zeit stand sie noch in der Entwicklung, erkennbar war dies an der noch nicht vorhandenen Lösegeld-Website und der schon online gestellten Black-Basta Website.
Genau wie die von Luna entwickelte Schadsoftware ist Black-Basta durch die Kommandozeile „-forcepath“ dazu fähig, einzelne Ordnerstrukturen zu verschlüsseln oder diese auszulassen.
Mittlerweile ist die Software ausgereifter und kann das befallene System in den Safeboot versetzen.
Diese Funktion ist seltener bei Ransomware, bietet jedoch Vorteile, dazu gehört das manche Endpunkt-Sicherheitssysteme in diesem Modus entweder gar nicht oder nur sehr beschränkt operieren können.
ESXi Systeme werden vermehrt zum Angriffsziel
Aus Sicht der Angreifer ist dies ein logischer Entschluss um möglichst viele Systeme zu infizieren, Black-Basta und Luna sind hier keine Ausnahme. Es wird vermutet, dass zukünftige Varianten auch standardmäßig die Verschlüsselung von virtuellen Maschinen unterstützen.
Um auch mehrstufige Attacken frühzeitig zu erkennen, empfehlen Experten nicht ausschließlich Endpunkt-Sicherheitssoftware zu verwenden, sondern zusätzlich sogenannte Endpoint Detection & Response Systeme zu nutzen. Dadurch können in vielen Fällen bereits Angriffe erkannt werden, bevor diese zum ESXi vordringen oder auf virtuelle Maschinen übergreifen.
Quelle: Kaspersky – vertiefend https://securelist.com/luna-black-basta-ransomware/106950
