Neue Ransomware trifft Windows- und Linux-Server in Chile

Ein Ransomware-Angriff, der am Donnerstag, den 25. August, begann, betraf Windows- und Linux-Systeme der chilenischen Regierungsbehörde. Der Vorfall wurde vom chilenischen Computer Security and Incident Response Team (CSIRT) überprüft.

Nach Angaben des chilenischen CSIRT stoppten die Hacker alle laufenden virtuellen Maschinen und verschlüsselten ihre Dateien, indem sie die Dateinamenerweiterung ".crypt" anfügten. Die Behörde erklärte, dass die Malware über Funktionen für verschiedene Arten bösartiger Aktivitäten verfügt, einschließlich des Diebstahls von Anmeldeinformationen aus Webbrowsern, der Liste abnehmbarer Geräte für die Verschlüsselung und der Umgehung der Antiviren-Erkennung durch Ausführungszeitüberschreitungen.

Der Ransomware-Angriff ist ein doppelter Erpressungsangriff. Die Angreifer stellten dem chilenischen CSIRT einen Kommunikationskanal zur Verfügung, über den sie die Zahlung eines Lösegelds aushandeln konnten. Dies wird dazu beitragen, die Angreifer daran zu hindern, die Dateien weiterzugeben und die verschlüsselten Daten zu entsperren.

Die Angreifer setzten eine Frist von drei Tagen und drohten damit, die gestohlenen Daten an andere Cyberkriminelle im Dark Web zu verkaufen. Das chilenische CSIRT nannte zwar nicht den Namen der hinter dem Angriff stehenden Gruppe, die an die verschlüsselten Dateien angehängte Erweiterung deutete jedoch darauf hin, dass die Malware auf die Ransomware "RedAlert" hinwies. RedAlert-Ransomware verwendete die Erweiterung ".encrpt" bei Angriffen, die sowohl auf Windows-Server als auch auf Linux-VMWare ESXi-Maschinen abzielten.

In seiner Analyse der Malware erklärte der chilenische Bedrohungsanalytiker Germán Fernández, dass es sich um einen völlig neuen Stamm zu handeln scheint und dass die Forscher, mit denen er die Malware analysierte, sie nicht mit bekannten Familien in Verbindung bringen konnten.

"Eine Besonderheit des Angriffs besteht darin, dass die Bedrohungsakteure die Lösegeldforderung in einem früheren Stadium als die endgültige Nutzlast der Ransomware verteilt haben, möglicherweise aus Gründen der Umgehung oder um zu vermeiden, dass ihre Kontaktdaten bei der Weitergabe des endgültigen Musters bekannt werden", so Fernández.

Um sich vor weiteren Angriffen zu schützen, empfiehlt die chilenische Cybersicherheitsorganisation allen Regierungsbehörden und großen privaten Organisationen eine Reihe von Sicherheitsmaßnahmen. Dazu gehören die Verwendung einer ordnungsgemäß konfigurierten Firewall und eines Antivirus-Tools, die Aktualisierung von VMware- und Microsoft-Ressourcen, die Sicherung wichtiger Daten, die Überprüfung der Konfiguration von Anti-Spam-Filtern, die Implementierung einer Netzwerksegmentierung sowie das Patchen und Entschärfen neuer Sicherheitslücken.

Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.