Erpressungstrojaners nutzt gefälschte Code-Signing-Zertifikate
PSW Group warnt vor MegaCortex: Ransomware hat Potenzial
Eine neue Version der Ransomware MegaCortex ist im November 2019 aufgetaucht. Diese inzwischen vierte Version ist noch einmal aggressiver als ihre Vorgänger, warnen die IT-Sicherheitsexperten der PSW Group in einer Mitteilung.
Bereits zum Ende der ersten Jahreshälfte 2019 verzeichnete die Melde- und Analysestelle Informationssicherung (MELANI) einen rapiden Anstieg einer damals neuen Bedrohung mit dem Namen MegaCortex. Die Ransomware, deren Gefahr zunächst als eher gering galt, verbreitete sich jedoch sehr schnell in Unternehmensnetzwerken und -systemen, um dort alle vorhandenen Daten zu verschlüsseln und für deren Entschlüsselung ein Lösegeld zu erpressen.
"Nachdem MegaCortex Zugriff auf fremde Systeme erhält, verbleibt der Angreifer zunächst im Stillen in dem Unternehmensnetzwerk, beobachtet vermutlich alle Vorgänge und sammelt interessante Daten. Erst wenn das System für die Erpresser attraktiv erscheint, beginnt ein Angriff. Die Kriminellen verschlüsseln alle hinterlegten Daten, ändern nun auch Passwörter und sperren die Nutzer somit komplett aus dem eigenen System aus. Mit dem Vertrieb der eigenen Entschlüsselungssoftware an die Opfer ist eine weitere Einnahmequelle gesichert", erklärt Patrycja Tulinska, Geschäftsführerin der PSW Group, die Angriffsmethode.
Um nicht in Sicherheitskontrollen aufzufallen, nutzt MegaCortex gefälschte Code-Signing-Zertifikate. Jede Binärdatei von MegaCortex enthält also ein solches Signaturzertifikat, ohne das einige Windows-Geräte den Code gar nicht ausführen würden. Ein zudem kurioser Zusammenhang besteht mit anderen bekannten Attacken wie Emotet und Qbot: In den durch MegaCortex bedrohten Netzwerken wurden den Experten von Sophos zufolge auch die beiden Bedrohungen Emotet und Qbot gefunden. Dies lässt die Vermutung entstehen, dass MegaCortex mithilfe dieser Malware-Angriffe erst in die Systeme eingeschleust werden konnte und auch massiv für diese neue Bedrohung verantwortlich ist.
"MegaCortex ist gefährlich. Bislang ist nicht klar, was die Angreifer mit den gestohlenen Daten bezwecken. Diese lediglich zu verkaufen, scheint noch der beste Fall zu sein. Denn MegaCortex fällt durch seine rapide Entwicklung auf und scheint somit nur schwer eindämmbar. Mein Rat ist deshalb, Unternehmensnetzwerke vor dem eigentlichen Angriff zu schützen", so Tulinska.
Dazu gehört die regelmäßige, idealerweise sogar tägliche, Datensicherung - und zwar offline, beispielsweise auf einem externen Speichermedium. Durch die stete Absicherungen kann ein Angriff durch MegaCortex deutlich weniger Schaden verursachen und im Fall der Fälle sind alle Daten wieder herstellbar. "Weiterhin sollten alle Firmengeräte stets die aktuellsten Versionen der Betriebssysteme und Programme sowie die aktuellste Version der PowerShell erhalten. So werden Sicherheitslücken vermieden", empfiehlt Tulinska. Mithilfe einer regelmäßigen Überprüfung aller Remoteverbindungsprotokolle lässt sich zudem feststellen, ob Angreifer bereits auf das Firmennetzwerk zugreifen.
"Um gegen deratige Angriffe gewappnet zu sein, sind zudem eine strikte Passwortrichtlinie und die Schulung aller Mitarbeiter über die Erstellung sicherer Passwörter genauso obligatorisch, etwa die Verwendung einer Zwei-Faktor-Authentifizierung", rät die IT-Sicherheitsexpertin und fährt fort: "Natürlich sollten neu erstellte Konten, Active Directory oder Admin-Gruppenänderung ebenfalls stetig überprüft, jegliche offenen Ports gesperrt und das Protokoll SMBv1 deaktiviert werden."
Weitere Informationen stehen unter: www.psw-group.de/blog/megacortex-ransomware/7366 zur Verfügung.
Lesen Sie mehr zum Thema
