HiSolutions Research

Toller Takedown: Emotet total tot

Für einen Moment zumindest. Die Generalstaatsanwaltschaft Frankfurt und das BKA haben mit internationaler Kooperation einen Takedown von 17 Emotet-C2-Servern durchgeführt und die damit gewonnene Kontrolle genutzt, indem sie die Schadsoftware so modifiziert haben, „dass die Opfersysteme ausschließlich zu einer zur Beweissicherung eingerichteten Infrastruktur kommunizieren können“. Damit sind zunächst einmal zentrale Teile des Backends von Emotet zerstört. Hoffen wir, dass das ein kleines Weilchen hält, bevor andere die entstandene Lücke nutzen.

https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2021/Presse2021/210127_pmEmotet.html

HiSolutions Research

Multi-OS-Strategie: Emotets Trickbot goes Linux

Die Vielseitigkeit der Schadsoftware-Toolchain Emotet beschäftigt seit geraumer Zeit Incident Responder, IT-Forensiker und Administratoren gleichermaßen. Nun kommt eine neue Facette hinzu, indem das angestammte Wirtsbetriebssystem Windows um Linux-Systeme ergänzt wird. Neben den offensichtlichen Linux-Servern (und ggf. -Clients) droht hier auch Persistenz über Embedded Linux in Geräten wie Druckern und Routern.

https://www.heise.de/news/Emotet-Trickbot-nimmt-Linux-Systeme-ins-Visier-4860584.html

Auch die Methodik der Angreifer entwickelt sich weiter, sodass nun reale Dateianhänge in E Mails gestohlen und für Angriffe verwendet werden.

https://www.heise.de/news/Betrueger-Mails-Emotet-klaut-Dateianhaenge-fuer-mehr-Authentizitaet-4857724.html

HiSolutions Research

3 – 2 – 1 – Gemeines! Ransomware-Gang versteigert Opferdaten

Die kriminelle Ransomware-Gang hinter der Malware REvil (auch bekannt als „Sodin“ oder „Sodinokibi“) hat damit begonnen, gestohlene Daten in Auktionen zu verhökern. Dies stellt eine weitere Eskalation der Taktik dar, Opfer von Schadsoftware nicht nur mit Verschlüsselung der Daten zu erpressen, sondern auch mit Veröffentlichung im Darknet oder Internet. Anscheinend nagt der Corona-Shutdown nicht nur an den Finanzen der Opfer, sondern lässt auch die Täter die ihnen zur Verfügung stehenden Daumenschrauben anziehen.

In einer Auktion von Daten eines landwirtschaftlichen Unternehmens etwa wurde für drei Datenbanken mit mehr als 22.000 Dateien ein minimales Gebot von 5.000 US-Dollar in Kryptogeld festgesetzt. Eine Garantie, dass die Übeltäter die Daten nach Zahlung wirklich löschen, gibt es selbstverständlich auch hier nicht.

https://krebsonsecurity.com/2020/06/revil-ransomware-gang-starts-auctioning-victim-data/

HiSolutions Research

APT meets Rent-a-Ransom: Cybercrime-as-a-Service 2.0

Die Entstehung und Entwicklung der komplexen Schadsoftware TrickBot, ihrer Vorgänger, Methoden und Verknüpfungen bis hin zu APTs und nordkoreanischen Hackergruppen zu verstehen ist wichtig, um aktuelle Angriffswellen einordnen und verstehen zu können. Kern der Geschichte ist laut Analysten von SentinelOne, dass TrickBot es geschafft habe, die vielen ehemals vereinzelten Bereiche der „Cyber“-Kriminalität wie Banking-Fraud, Ransomware, Diebstahl von persönlichen Informationen und Cryptomining zusammenzubringen und in einer modularen Schadsoftware hochautomatisiert zu verpacken, die dann als Cybercrime-as-a-Service an Dritte vermietet wird.

https://labs.sentinelone.com/the-deadly-planeswalker-how-the-trickbot-group-united-high-tech-crimeware-apt

Technische Details: https://assets.sentinelone.com/labs