Wiper, getarnt qua gefälschte Ransomware, zielt aufwärts russische Organisationen ab

Unternehmen, die mit angeblicher Ransomware infiziert sind, nach sich ziehen notfalls keine Möglichkeit mehr, ein Lösegeld zu zahlen.

Ein neues bösartiges Sendung verhält sich genau wie Krypto-Ransomware – es überschreibt und umbenennt Dateien und legt dann eine Textdatei mit einer Lösegeldforderung und einer Bitcoin-Note zur Zahlung ab – wohl dies Sendung löscht stattdessen den Inhalt jener Dateien eines Opfers. Dies Sendung CryWiper zielt derzeit aufwärts russische Organisationen ab, könnte wohl leichtgewichtig gegen Unternehmen und Organisationen in anderen Ländern eingesetzt werden, so die Cybersicherheitsfirma Kaspersky, die dies Sendung analysiert hat.

Dies getarnte Wiper-Sendung setzt verdongeln Trend fort, wohnhaft bei dem Ransomware – mutwillig oder versehentlich – qua Wiper verwendet wird, stellten die Forscher des Unternehmens in jener Begutachtung stramm.

„In jener Vergangenheit nach sich ziehen wir wenige Schadsoftware-Stämme gesehen, die versehentlich zu Wipern wurden – aufgrund von Fehlern ihrer Ersteller, die Verschlüsselungsalgorithmen schlecht implementierten“, so jener Forscher schrieb. „Diesmal ist es wohl nicht jener Kasus: Unsrige Experten sind sich sicher, dass dies Hauptziel jener Angreifer nicht jener finanzielle Preis, sondern die Zerstörung von Wissen ist. Die Dateien werden nicht wirklich verschlüsselt, sondern jener Trojanisches Pferd überschreibt sie mit pseudozufällig generierten Wissen. “

Schadsoftware, die kritische Wissen löscht, sogenannte Wiper, ist zu einer erheblichen Gefahr sowohl pro den privaten qua fernerhin pro den öffentlichen Sektor geworden. Wischer wurden von russischen Behörden im Konflikt mit jener Ukraine eingesetzt, um die kritischen Dienste des Landes und ihre Verteidigungskoordination zu stören. Vor einem Jahrzehnt nutzte jener Persien dies Shamoon-Wischerprogramm, um mehr qua 30.000 Festplatten des staatlichen Ölkonglomerats Saudi-Arabiens, Saudi Aramco, zu verschlüsseln und unbrauchbar zu zeugen.

Welcher jüngste Sturm richtete sich gegen eine russische Organisation, stellten die Kaspersky-Forscher in ihrer Begutachtung stramm, und deuteten an, dass es sich um Vergeltung durch ukrainische Streitkräfte oder parteiische Hacker handeln könnte.

„In Bezug auf jener verwendeten Lage – die vorgibt, Ransomware zu sein – und jener begrenzten Zeit, die zum Schreiben eines einfachen Wipers gesucht wird, scheint es, qua könnte jeder hinter diesem Sturm stecken“, sagt Max Kersten, Schadsoftware-Forscher wohnhaft bei jener Cybersicherheitsfirma Trellix. „Kaspersky gibt an, dass die Todesopfer Russen sind, welches bedeutet, dass antirussische Aktivisten, proukrainische Aktivisten, die Ukraine qua Staat oder Staaten, die die Ukraine unterstützen, hinter stecken könnten, wie ich es sehe.“

Gefälschte Ransomware oder faule Kriminelle?

CryWiper ist dies neueste Angriffsprogramm, dies Ransomware zu sein scheint, wohl tatsächlich qua Wiper fungiert. Während frühere Beispiele vielmals Wissen aufgrund eines Entwicklerfehlers löschten, beabsichtigte jener Schöpfkelle von CryWiper laut einer Übersetzung jener russischen Begutachtung von Kaspersky seine Systemfunktionalität.

„Nachher jener Untersuchung einer Schadsoftware-Probe nach sich ziehen wir herausgefunden, dass dieser Trojanisches Pferd, obwohl er sich qua Ransomware tarnt und Geld vom Todesopfer pro die ‚Entschlüsselung‘ von Wissen erpresst, nicht wirklich verschlüsselt, sondern spezifisch Wissen im betroffenen System zerstört“, erklärte Kaspersky . „Darüber hinaus ergab eine Begutachtung des Programmcodes des Trojaners, dass dies kein Fehler des Entwicklers war, sondern seine ursprüngliche Plan.“

CryWiper ist nicht dies erste Ransomware-Sendung, dies Wissen überschreibt, ohne deren Entschlüsselung zu zuteil werden lassen. Ein weiteres kürzlich entdecktes Sendung, W32/Filecoder.KY!tr, überschreibt ebenfalls Dateien, wohl in diesem Kasus können die Wissen wegen unterlegen Programmierung nicht wiederhergestellt werden.

„Die Ransomware wurde nicht mutwillig in verdongeln Wischer verwandelt. Stattdessen führte die fehlende Qualitätssicherung dazu, dass ein Sample nicht richtig funktionierte“, stellte Fortinet-Forscher Gergely Revay in einer Begutachtung stramm. „Dies Problem wohnhaft bei diesem Fehler ist, dass es aufgrund jener Simplizität des Designs jener Ransomware keine Möglichkeit gibt, die verschlüsselten Dateien wiederherzustellen, wenn dies Sendung abstürzt – oder sogar geschlossen wird.“

Ähnlichkeiten mit früherer Ransomware

CryWiper scheint eine Urfassung-Schadsoftware zu sein, wohl die zerstörerische Schadsoftware verwendet denselben Pseudo-Zufallszahlengenerator (PRNG)-Algorithmus wie IsaacWiper, ein Sendung, dies verwendet wird, um Organisationen des öffentlichen Sektors in jener Ukraine anzugreifen, während CryWiper möglicherweise eine Horde in jener Ukraine angegriffen hat jener Russischen Föderation erklärte Kaspersky die russische Begutachtung.

Mehrere Varianten jener Xorist-Ransomware-Familie und jener Trojan-Ransom.MSIL.Geheimagent-Familie verwendeten dieselbe Elektronischer Brief-Note in jener Notiz, die CryWiper nachher jener Beschädigung von Wissen vermachen hatte, wohl Kersten von Trellix glaubt, dass dies Verwirrung stiften könnte.

„Die Wiederverwendung jener Elektronischer Brief-Note in jener Lösegeldforderung in verschiedenen Mustern könnte dazu fungieren, Analysten, die die Punkte verbinden wollen, abzuschrecken, oder es könnte sich um verdongeln tatsächlichen Fehler handeln“, sagt er. „Letzteres ist meines Erachtens weniger wahrscheinlich, da jener Quelltext jener Schadsoftware wenige Fehler enthält, die darauf hindeuten, dass sie nicht gründlich getestet wurde, welches mich aufwärts den Schöpfkelle schließen lässt [or creators] standen unter Zeitdruck.”

In jener Vergangenheit nach sich ziehen sich Unternehmen, die Ziel von Ransomware sind, überlegt, ob sie Ransomware-Gruppen dazu bezahlen sollen, Backups und Offline-Kopien zu verwenden, um sich von einem Krypto-Ransomware-Ereignis zu rekonvaleszieren.

„CryWiper positioniert sich selbst qua Ransomware-Sendung, dies heißt, es behauptet, dass die Dateien des Opfers verschlüsselt sind und wohnhaft bei Zahlung eines Lösegelds wiederhergestellt werden können. Dies ist jedoch ein Scherz: Tatsächlich werden die Wissen zerstört und können nicht zerstört werden zurückgegeben”, erklärte Kaspersky. “Die Umtrieb von CryWiper zeigt wieder einmal, dass die Zahlung des Lösegelds die Wiederherstellung von Dateien nicht garantiert.”