Threats & Co, Palo Alto Networks

Palo Alto Networks beobachtet Weiterentwicklung der Pseudo-Darkleech-Kampagne – Ransomware-Angriffe basieren auf Exploit Kits

Palo Alto Networks beobachtet Weiterentwicklung der Pseudo-Darkleech-Kampagne – Ransomware-Angriffe basieren auf Exploit Kits

Die Welle an Cyberattacken unter dem Namen „Darkleech“, die Exploit Kits (EKs) zur Bereitstellung von Malware nutzt, läuft nunmehr seit mehreren Jahren und wurde erstmals im Jahr 2012 identifiziert. Die Anti-Malware Experten von Palo Alto Networks haben das jüngste Vorgehen der Cyberkriminellen, den Ransomware nutzen, untersucht und dabei erhebliche Veränderungen entdeckt. Entsprechend wurde die Kampagne umbenannt in„Pseudo-Darkleech“.

Erfolgreiche Infektionen durch die Pseudo-Darkleech-Kampagne folgten – unabhängig vom verwendeten EK oder der gelieferten Nutzlast – in der Regel einer Reihe von Ereignissen:

 

Schritt 1: Der Host des Opfers sucht eine kompromittierte Website mit einem böswilligen injizierten Skript auf.

 

Schritt 2: Das injizierte Skript erzeugt eine HTTP-Anforderung für eine EK-Zielseite.

 

Schritt 3: Die EK-Zielseite bestimmt, ob auf dem Computer anfällige browserbasierte Anwendungen laufen.

 

Schritt 4: Das EK sendet einen Exploit für anfällige Anwendungen (z.B. veraltete Versionen von Internet Explorer oder Flash Player).

 

Schritt 5: Ist der Exploit erfolgreich, sendet das EK eine Nutzlast und führt sie als Hintergrundprozess aus.

 

Schritt 6: Der Host des Opfers ist von der Malware-Nutzlast infiziert.

 

 

In einigen Fällen hat die Pseudo-Darkleech-Kampagne ein Tor zwischen der kompromittierten Website und der EK-Zielseite verwendet. Allerdings beobachten Forscher von Palo Alto Networks viel häufiger, dass ein injizierter Skript aus der kompromittierten Website direkt auf die EK-Zielseite führt.

 

Von Pseudo-Darkleech verwendete Exploit-Kits

Die Pseudo-Darkleech-Kampagne nutzte das Angler-Exploit-Kit, bis dieses Mitte Juni 2016 verschwand. Wie viele andere Kampagnen wechselte Pseudo-Darkleech daher zum Neutrino-Exploit-Kit und nutzte dieses bis Mitte September 2016. Zu diesem Zeitpunkt stellte Neutrino seinen Betrieb ein. Daraufhin wechselte Pseudo-Darkleech zum Rig-Exploit-Kit, das seitdem genutzt wird. Auf der Suche nach Exploit-Kit-Aktivitäten mittels seines Bedrohungserkennungsdiensts AutoFocus beobachtete Palo Alto Networks bei Neutrino einen deutlichen Rückgang und einen entsprechenden Anstieg der Aktivitäten des Rig-Exploit-Kits ab Mitte September 2016. Die Forscher fanden aber immer noch Hinweise auf eine Neutrino-Variante von Pseudo-Darkleech, jedoch auf wesentlich reduzierteren Ebenen im Vergleich zu vorher.

 

Von Pseudo-Darkleech gesendete Nutzlasten

Als die Forscher die Pseudo-Darkleech-Kampagne im März 2016 zuletzt analysiert hatten, lieferte sie TeslaCrypt-Ransomware aus. Seit dieser Zeit hat Pseudo-Darkleech die Ransomware-Nutzlasten mehrmals verändert. Im April 2016 wechselte die Kampagne auf CryptXXX-Ransomware, nachdem TeslaCrypt heruntergefahren wurde und seinen Master-Entschlüsselungscode freigegeben hatte. Im August 2016 hatte Pseudo-Darkleech auf eine neue Variante der CryptXXX-Ransomware namens CrypMIC umgestellt. Im Oktober 2016 stieg Pseudo-Darkleech um auf die Verteilung von Cerber-Ransomware und setzte dies bis Anfang Dezember 2016 fort.

<< Erste < Vorherige 1 2 Nächste > Letzte >>

Diesen Artikel empfehlen

Autor: pat

Erpressung online

Die Erpressung von Lösegeld erfolgt in der Regel über Ransomware oder über Ransom Denial of Service (RDoS). Ransomware nennt man einen Trojaner, einen Wurm oder eine andere Schadsoftware, die ein System unter ihre Kontrolle bringt und den legitimen Zugriff darauf unmöglich macht, bis ein Lösegeld...

Zertifikatbedingte Ausfälle betreffen 79 Prozent aller Unternehmen

Venafi gibt die Ergebnisse einer Studie[1] zu Umfang, Häufigkeit und Ursachen zertifikatbedingter Ausfälle bekannt. Dabei zeigt sich klar und deutlich die negative Auswirkung von zertifikatbedingten Ausfällen auf die Zuverlässigkeit und Verfügbarkeit wichtiger Systeme und Dienste. Die wichtigsten...