Angreifer senden Fake-Mails
Die Angreifer versenden gefälschte E-Mails mit unterschiedlichen Inhalten, die einen Link zu angeblichen Dokumenten enthalten, die auf GoogleDocs hochgeladen wurden. Die angebotene Datei enthält ein VBS-Script, das als Dropper für die Malware dient. Wird die Datei nach dem Herunterladen geöffnet, dann entpackt der Dropper automatisch die DanaBot Downloader DLL in den Temp-Ordner des Betriebssystems und registriert sie als Dienst. Danach versucht DanaBot eine Verbindung mit dem Command & Control (C&C)-Server der Angreifer aufzubauen.
DanaBot mit Ransomware Feature
Seit April 2019 wurde DanaBot nun um die Funktion erweitert, als Ransomware zu arbeiten. Dabei fällt die Malware unter die Kategorie der NonRansomware-Distribution. Das bedeutet, dass die Software irgendwelche Daten auf den lokalen Festplatten auswählt und verschlüsselt, aber nicht den Windows-Systemordner. Die verschlüsselten Daten bekommen die neue Endung .non angehängt. Außerdem wird in jedem Ordner, der verschlüsselte Datensätze enthält, eine Lösegeldforderung als .txt-Datei platziert.
Check Point bietet Entschlüsselungsprogramm
Die Sicherheitsforscher von Check Point weisen darauf hin, dass die Entwickler hinter DanaBot die Software seit einem Jahr kontinuierlich weiterentwickeln und erwarten auch in naher Zukunft neue Funktionen und Verbesserungen. Zudem versuchen die Cyberkriminellen ihre Zusammenarbeit mit anderen Gruppierungen zu erweitern.
Check Point empfiehlt außerdem ausdrücklich, auf keine Lösegeldforderung einzugehen, um die Motivation der Kriminellen nicht anzufeuern. Stattdessen bietet Check Point ein Entschlüsselungsprogramm gegen Angriffe durch NonRansomware-Schädlinge. Kunden von Check Point sind gegen DanaBot und ähnliche Bedrohungen durch den SandBlast Agent geschützt.
Über Check Point Research
Check Point Research bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die größere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen schützen Kunden vor Cyber-Angriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Ransomware und anderen gezielten Angriffen. Check Point bietet die mehrstufige Sicherheitsarchitektur ‚Infinity‘ Total Protection mit Gen V Advanced Threat Prevention, die alle Netzwerke, Clouds und mobilen Operationen eines Unternehmens, sowie die Geschäftsinformationen auf diesen Geräten, vor allen bekannten Angriffen schützt. Check Point liefert zudem das umfassendsten und intuitivsten Single Point of Control Management-System der Branche. Check Point schützt über 100.000 Unternehmen jeder Größe in der ganzen Welt.
Weiterführende Links:
Weitere technische Einzelheiten im Check Point Research Blog
