Ransomware Bucbi kehrt in neuem Gewand zurück

Der Verschlüsselungsschädling Bucbi, der vor zwei Jahren debütierte, ist in der Auswahl seiner Opfer nun anspruchsvoller geworden und setzt Bruteforce-Attacken ein.

Die Forscher von Palo Alto Networks haben eine neue Version von Bucbi auf einem Windows Server entdeckt; der Schädling forderte von dem Betreiber 5 Bitcoins (2.320 Dollar) für die Entschlüsselung. Die Analyse hat ergeben, dass die Betreiber des aktualisierten Erpresserprogramms den Schädling nicht mehr massenhaft verteilen, wie noch vor zwei Jahren, sondern dass sie zielgerichtete Attacken durchführen.

„In der Vergangenheit traf dieser Erpresser keine Vorauswahl bei seinen Opfern und er wurde über E-Mail-Attachments und von schädlichen Websites aus in Umlauf gebracht“, erklärt der Palo Alto-Forscher Ryan Olson gegenüber Threatpost. „Die Cyberkriminellen haben nun ihre Taktik geändert und setzen Bruteforce-Attacken ein.“

Laut Olson stehen heute Unternehmensnetzwerke, in denen über das Internet erreichbare RDP-Server eingesetzt werden, im Zentrum des Interesses des aktualisierten Schädlings Bucbi. Ein Tool mit der Bezeichnung RDP Brute hilft den Angreifern, sich Zugriff auf diese Windows-Server zu verschaffen, indem es die Passwörter mit der Brute-Force-Methode knackt.

In ihrem Bericht äußerten die Forscher die Vermutung, dass die eigentlichen Ziele der Cyberkriminellen – der Liste der Account-Daten nach zu urteilen, mit denen die Verbrecher operieren – PoS-Systeme sind. Diese Liste enthält Nutzernamen wie FuturePos, KahalaPOS, BPOS. „Es ist äußerst wahrscheinlich, dass dieser Angriff mit der Suche nach PoS-Geräten begonnen hat (durch die Cyberkriminellen), und dass sie daraufhin – als sich nach erfolgreicher Kompromittierung zeigte, dass die gehackten Geräte keine Finanztransaktionen durchführen – ihre Taktik geändert haben“, vermutet man bei Palo Alto.

Neu ist auch, dass Bucbi auf eine HTTP-Verbindung mit dem Steuerungsserver verzichtet. Die Cybergangster übernehmen einfach die vollständige Kontrolle über das angegriffene System.

„Bucbi ist deswegen einmalig, weil er mehr ist als ein Schädling, der mit automatisierten Mitteln verbreitet wird“, sagt Olson. „Innerhalb der letzten zwei Jahre hat er sich weiterentwickelt und ist zu einem Tool geworden, das nach vertraulichen Daten suchen, das Netzwerk ausspionieren und Dateien verschlüsseln kann.“

Eine andere herausragende Eigenschaft, die bisher aber noch nicht bestätigt wurde, ist die politische Motivation der Angriffe unter Verwendung von Bucbi – so behaupten jedenfalls seine Betreiber. „Bisher haben wir noch keine Belege gefunden, dass diese Behauptung der Erpresser der Wahrheit entspricht“, stellt Olson fest.

Im Laufe der Analyse wurden zahlreiche Hinweise gefunden, auf Grund derer man die Herkunft der neuen Bucbi-Attacken bestimmen könnte. So haben die Forscher beispielsweise die E-Mail-Adresse, die in der Mitteilung mit den Lösegeldforderungen angegeben wird, ukrainischen Nationalisten aus dem „Rechten Sektor“ zugeordnet.

Im Gespräch mit Threatpost bemerkte Olson zudem, dass Bucbi ein typischer Vertreter eines aufstrebenden Erpresser-Business-Modells sei, das auf der Verschlüsselung von Informationen und nicht deren Diebstahl und anschließendem Verkauf basiert. „Wenn ich ein böser Junger wäre und wollte ein Krankenhaus kompromittieren, so könnte ich eine Unmenge persönlicher und klinischer Daten klauen, diese Informationen allerdings zu Geld zu machen, wäre keine leichte Sache“, räumte der Experte von Palo Alto ein. „Die Verwendung von Erpresserprogrammen bedeutet, dass alle Systeme, die kompromittiert werden können, auch einen potentiellen Wert darstellen.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.