Ransomware zielt auf Office 365 User in Italien

9. Januar, 2020
Ransomware zielt auf Office 365 User in Italien

Rammstein kündigt Ransomware Hack an

Office 365 Anwender in Italien waren sicher überrascht, als ihr Warten beim Herunterladen von Geschäftsdokumenten mit Musik verkürzt wurde. Den meisten Usern dürfte die heftige Rockmusik von Rammstein sicher nicht einmal gefallen haben. Aber wenig später dann das wirkliche Entsetzen: Die Musik sollte eigentlich nur von der Erpressersoftware ablenken, die sich im Hintergrund herunterlud und fleißig Dateien verschlüsselte.

Ransomware wurde per Email verteilt

Damit ist auch schon klar, wie die Ransomware übermittelt wird: Via E-Mail werden Rechnungen, Geschäftsdokumente und sogar Bewerbungsschreiben mit einer .vbs Datei verseucht. Sie kann Dateien verschlüsseln und einen Jasper Malware Loader herunterladen sowie Musik abspielen. Die Ransomware wird FTCode genannt. Sie wurde zuerst entdeckt durch Sicherheitsanalysten bei AppRiver. Sie hatten die Vorfälle untersucht, bei der italienische Office 365 Kunden angegriffen wurden.

Die Forscher erläuterten:

„Die.vbs-Datei startet zunächst PowerShell, um eine mp3-Datei von archive.org herunterzuladen und abzuspielen. Auf den ersten Blick vermuteten wir, dass es sich nur um eine umbenannte Dateiendung für Malware handelte. Das ist eine gängige Praxis, um einige Netzwerk-Gateways zu umgehen. Wir fanden es jedoch auch lustig, dass es einen Rammstein-Song-Mix abspielte“.

Zu hören gab es die Titel „Du Hast” und „Engel“.

Freischaltung für Lösegeld

Nach erfolgreicher Verschlüsselung der Dateien der Opfer, wird eine Notiz auf dem Desktop abgelegt. Sie weist das Opfer an, eine Onion-Website herunterzuladen, zu installieren und dort weitere Anweisungen zu lesen. Dort wird den Opfern auch die Möglichkeit geboten, die Freischaltung ihrer Dateien zuerst mit einer Datei zu testen. Dann kann das volle Lösegeld bezahlt werden. Auch hierzu gab es genauere Anweisungen: Innerhalb der ersten drei Tage müssen nur 500 US-Dollar bezahlt werden, danach steigt die Summe schnell auf 25.000 US-Dollar an.

David Pickett, ein Sicherheitsanalytiker bei AppRiver, warnte:

„Anwender sollten darauf achten, niemals auf nicht angefordert Links oder Dokumente zu klicken oder diese zu öffnen. Insbesondere nicht solche mit unbekannten Dateitypen, wie Skriptdateien .vbs,.js,.ps1,.bat, usw. Jede MS Office-Datei, die den Benutzer nach dem Öffnen auffordert, Inhalte zu aktivieren oder die Bearbeitung zu aktivieren, sollte mit größter Vorsicht behandelt werden. Wenn das geschieht, kann es die Ausführung einer darin enthaltenen bösartigen Nutzlast ermöglichen.“

Artikel von infosecurity-magazine.com, 13.10.2019: Italians Rocked by Ransomware

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen