Multi-OS-Strategie: Emotets Trickbot goes Linux

Veröffentlicht Veröffentlicht in News

Die Vielseitigkeit der Schadsoftware-Toolchain Emotet beschäftigt seit geraumer Zeit Incident Responder, IT-Forensiker und Administratoren gleichermaßen. Nun kommt eine neue Facette hinzu, indem das angestammte Wirtsbetriebssystem Windows um Linux-Systeme ergänzt wird. Neben den offensichtlichen Linux-Servern (und ggf. -Clients) droht hier auch Persistenz über Embedded Linux in Geräten wie Druckern und Routern.

https://www.heise.de/news/Emotet-Trickbot-nimmt-Linux-Systeme-ins-Visier-4860584.html

Auch die Methodik der Angreifer entwickelt sich weiter, sodass nun reale Dateianhänge in E Mails gestohlen und für Angriffe verwendet werden.

https://www.heise.de/news/Betrueger-Mails-Emotet-klaut-Dateianhaenge-fuer-mehr-Authentizitaet-4857724.html

3 – 2 – 1 – Gemeines! Ransomware-Gang versteigert Opferdaten

Veröffentlicht Veröffentlicht in News

Die kriminelle Ransomware-Gang hinter der Malware REvil (auch bekannt als „Sodin“ oder „Sodinokibi“) hat damit begonnen, gestohlene Daten in Auktionen zu verhökern. Dies stellt eine weitere Eskalation der Taktik dar, Opfer von Schadsoftware nicht nur mit Verschlüsselung der Daten zu erpressen, sondern auch mit Veröffentlichung im Darknet oder Internet. Anscheinend nagt der Corona-Shutdown nicht nur an den Finanzen der Opfer, sondern lässt auch die Täter die ihnen zur Verfügung stehenden Daumenschrauben anziehen.

In einer Auktion von Daten eines landwirtschaftlichen Unternehmens etwa wurde für drei Datenbanken mit mehr als 22.000 Dateien ein minimales Gebot von 5.000 US-Dollar in Kryptogeld festgesetzt. Eine Garantie, dass die Übeltäter die Daten nach Zahlung wirklich löschen, gibt es selbstverständlich auch hier nicht.

https://krebsonsecurity.com/2020/06/revil-ransomware-gang-starts-auctioning-victim-data/

APT meets Rent-a-Ransom: Cybercrime-as-a-Service 2.0

Veröffentlicht Veröffentlicht in News

Die Entstehung und Entwicklung der komplexen Schadsoftware TrickBot, ihrer Vorgänger, Methoden und Verknüpfungen bis hin zu APTs und nordkoreanischen Hackergruppen zu verstehen ist wichtig, um aktuelle Angriffswellen einordnen und verstehen zu können. Kern der Geschichte ist laut Analysten von SentinelOne, dass TrickBot es geschafft habe, die vielen ehemals vereinzelten Bereiche der „Cyber“-Kriminalität wie Banking-Fraud, Ransomware, Diebstahl von persönlichen Informationen und Cryptomining zusammenzubringen und in einer modularen Schadsoftware hochautomatisiert zu verpacken, die dann als Cybercrime-as-a-Service an Dritte vermietet wird.

https://labs.sentinelone.com/the-deadly-planeswalker-how-the-trickbot-group-united-high-tech-crimeware-apt

Technische Details: https://assets.sentinelone.com/labs