Ransomware-as-a-Service (RaaS): Eine neue Bedrohung

Die „Betruger“-Backdoor-Malware ist das neueste Werkzeug, das von der Ransomware-as-a-Service (RaaS)-Gruppe RansomHub eingesetzt wird. Sicherheitsforscher von Symantec haben eine vielseitige Backdoor entdeckt, die offenbar gezielt für Ransomware-Angriffe entwickelt wurde. Diese Schadsoftware bietet verschiedene Funktionen, die typischerweise in der Vorbereitungsphase von Ransomware-Angriffen genutzt werden. Dazu gehören das Erstellen von Screenshots, Keylogging, Netzwerkscans, das Stehlen von Zugangsdaten sowie das Hochladen von Dateien auf einen Command-and-Control-Server.

Laut Symantec wurden die Dateinamen mailer.exe und turbomailer.exe für verschiedene Versionen dieser Malware genutzt. Allerdings verfügt die Backdoor über keine Mailing-Funktionalität. Es wird vermutet, dass die Angreifer die Bezeichnungen gewählt haben, um den Anschein einer legitimen Anwendung zu erwecken.

Berichten zufolge deutet die Funktionalität von Betruger darauf hin, dass es möglicherweise entwickelt wurde, um die Anzahl neuer Tools zu reduzieren, die während der Vorbereitung eines Ransomware-Angriffs in einem Zielnetzwerk platziert werden.

Symantec stellt fest, dass es eher selten vorkommt, maßgeschneiderte Malware speziell für Ransomware-Angriffe zu entwickeln, da die meisten Angreifer auf bereits bestehende Tools zurückgreifen. Maßgeschneiderte Malware kommt jedoch hauptsächlich bei der Datenexfiltration zum Einsatz. Die Betruger-Backdoor wurde in den letzten Monaten bei mehreren Angriffen von RansomHub entdeckt. Das Tool, das in den meisten gemeldeten Vorfällen verwendet wurde, ist mit einem Bedrohungsakteur namens Greenbottle verknüpft.

Bild/Quelle: https://depositphotos.com/de/home.html