Angriffe mit SDBBot-RAT „Trojaner“ zielt auf Australiens Gesundheitssektor ab

20. Januar, 2021
Angriffe mit SDBBot-RAT "Trojaner" zielt auf Australiens Gesundheitssektor ab

Australiens Cybersicherheitscenter hat die höchste Warnstufe für den SDBBot RAT ausgerufen. Vermehrt waren Angriffe gegen den Gesundheitssektor im Land registriert worden. Die Sicherheitswarnung fordert Unternehmen im Gesundheitsbereich auf, ihre Cyberabwehr und Prozesse zum Erkennen und zum Abwehren von Ransomware-Angriffen zu überprüfen.

Die beobachteten Angriffe hatten überwiegend den Gesundheitssektor im Visier. Genauere Details zu diesen Angriffen wurden nicht bereitgestellt. Dennoch empfiehlt die australische Behörde allen Netzwerkbesitzern, ihre Prozesse gegen Ransomware zu überprüfen. Dazu hatte es ein Papier mit Leitlinien veröffentlicht. Alle australischen Organisationen sollen damit auf die zunehmenden Ransomware-Vorfälle sensibilisiert werden. Von der Zahlung von Lösegeld wird abgeraten. Zum einen könnte eine Lösegeldzahlung Unternehmen noch anfälliger machen für zukünftige Ransomware-Vorfälle. Zum anderen gäbe es keine Garantie dafür, dass eine Zahlung den Schaden rückgängig macht, hieß es in dem Papier.

Wissenswertes zum SDBBot RAT

Der SDBBot Remote Access Trojaner wird fast ausschließlich von der Hackergruppe namens TA505 eingesetzt. Er sei ein Vorläufer der äußerst gefährlichen Clop-Ransomware, so die Informationen des australischen Cybersicherheitscenters.

Der SDBBot RAT setzt sich aus drei Komponenten zusammen: einem Installationsprogramm, einem Loader und dem RAT selbst. Nach der Installation können sich die Hacker damit durch ein infiziertes Netzwerk zu bewegen und Daten absaugen.

Verbreitet wird der SDBBot RAT über massive Spam-E-Mail-Aktionen auf Ziel-Unternehmen. Ziel ist es, so viele Arbeitsplätze wie möglich mit Malware zu infizieren. Die TA505-Hacker sind auch dabei beobachtet worden, wie sie verschiedene andere Malware-Stränge auf zuvor infizierten Systemen einschleusen. TA505 setzt den SDBBot RAT seit September 2019 ein.

Die Clop-Ransomware für die „Großwildjagd“

Clop, der Name wird abgeleitet aus einer anderen Schreibweise der Ransomware – Cl0p. Es ist wohl eine der derzeit aggressivsten Schadprogramme. Sicherheitsforscher bezeichnen es als „Großwildjagd-Ransomware“, die gezielt gegen hochkarätig und lukrative Ziele eingesetzt wird. Sie wird auch als „von Menschen betriebene Ransomware“ bezeichnet. Dies heißt, dass es sich nicht um eine massenhaft losgelassene Ransomware handelt. Vielmehr wird sie sehr behutsam und ganz zuletzt eingesetzt, wenn der Angreifer seinen Zugriff auf ein gehacktes Unternehmen maximiert hat.

Die Gruppe hinter der Clop-Ransomware erpresst ihre Opfer um unglaublich hohe Summen. Diese können im Bereich von mehreren Hunderttausenden bis zu Millionen von US-Dollar liegen. Sie betreiben auch eine Leak-Seite im Darknet, auf der sie gestohlene Daten von Nichtzahlern veröffentlichen.

Artikel von cyber.gov.au, 12.11.2020: SDBBot targeting health sector
Artikel von cyber.gov.au, 02.10.2020: Ransomware in Australia
Artikel von zdnet.com, 13.11.2020: Australian government warns of possible ransomware attacks on health sector

 

Beitragsbild: Public Domain, Creative Commons CC0, National Cancer Institute auf unsplash.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen