Keine Angriffe auf Krankenhäuser: Ransomware-Betreiber sind gnädig

Artikel ansehen

Zwei Ransomware-Betreiber versprechen, während der Coronavirus-Pandemie keine medizinische Organisationen anzugreifen. Die Tech-News-Seite BleepingComputer kontaktierte Betreiber bekannter Erpressungssoftware wie Maze, DoppelPaymer,…

Viel schlimmer bzw. pervers finde ich, dass BleepingComputer den Ransomware-Betreibern somit eine Plattform gibt, die Ausübung hinter ihren Projekten zu relativieren und dabei auch noch so eine Art „Robin Hood - Gedanken“ zu suggerieren!
Diese Betreiber schert auch sonst (außerhalb der jetzigen Situation) nicht, dass sie mit ihrer Tätigkeit Existenzen und event. Leben vernichten!! Es waren und sind auch aktuell einfach schlichtweg kriminelle Erpresser!!
Ein gutes Beispiel dafür:
Eine neue Ransomware (Lösegeldforderung) namens CoronaVirus wurde über eine gefälschte Website verbreitet, die vorgibt, die Systemoptimierungssoftware und Dienstprogramme von WiseCleaner zu bewerben.

Angesichts der zunehmenden Angst vor dem Ausbruch des Coronavirus (COVID-19) hat ein Angreifer begonnen, eine Kampagne zur Verbreitung eines Malware-Cocktails aus der Lösegeldforderung des CoronaVirus und dem informationsdiebstehlenden Trojaner Kpot aufzubauen.

Diese neue Lösegeldforderung wurde vom MalwareHunterTeam entdeckt, und nachdem die Quelle der Datei weiter untersucht wurde, konnte man feststellen, wie der Bedrohungsakteur die Verteilung der Lösegeldforderung plant und mögliche Hinweise darauf, dass es sich tatsächlich um einen Angriff auf die Dateien handeln könnte.

Siehe dazu:

https://www.bleepingcomputer.com/news/security/new-coronavirus-ransomware-acts-as-cover-for-kpot-infostealer/

Sehe ich nicht so. Einer der Gründe, weshalb es überhaupt so einfach ist, Schadsoftware dieser Art zu verteilen, liegt allein an der Unfähigkeit vieler Anwender und auch Administratoren. Und wenn man als öffentliche Einrichtung nicht das Geld ausgeben will, um richtiges IT Personal oder geschulte Anwender zu bezahlen, kann das mit der IT Infrastruktur im Unternehmen ja auch nicht so wichtig sein. In meinen Augen sind diese vermehrten Angriffe z.B über „Bewerbungen“ per Mail oder Werbung auf bestimmten Websites quasi die Holzhammersensibilisierung für diese Themen. Wer heute noch denkt, man müsste in seinem Unternehmen die IT zutode sparen, weil es ja auch so irgendwie funktioniert, sollte definitiv mal komplett verschlüsselt werden.

Klar ist das scheiße, wenn ein Krankenhaus nicht mehr arbeiten kann usw. Aber so ist das Leben nun mal. Und wenn die Hacker dann auch noch so nett sind und diese Einrichtung verschonen, sollte man sich echt darüber freuen. Du weißt doch selbst, wie viel Angriffsfläche einem eine schlecht konfigurierte Unternehmensinfrastruktur bieten kann. Im simpelsten Fall erhälst du nach 2 Tagen keyloggen auf irgendeinem PC direkt das Windows Domainadmin PW, weil die Admins in der Firma nur den Domainadmin für Installationen usw. Verwenden. Schon oft genug so gesehen…

Klaro, da bin ich auch zu 500% dabei, hinsichtlich deiner Aussage! Allerdings kommt jetzt mein aber in diesem speziellen Fall…
Erstmal bin ich pers. der Meinung, dass BleepingComputer in den letzten 4-5 Jahren extrem an Qualität im Allgemeinen eingebüßt hat! Natürlich gibt es dort auch zwischendurch immer noch sehr gute Beiträge etc.
Das mag auch der aktuellen internen Führung dort geschuldet sein und ändert sich vllt. bald wieder? Streckenweise ist das Niveau aber unterirdisch - und nun mit Aufspringen auf den Coronavirus-Zug, sich großmütig quasi als Retter in der Not einzubringen und gleichzeitig denjenigen ein Sprachrohr zu bieten, die man ansonsten immer bekämpft hat, ist in meinen Augen eine sehr zweifelhafte Aktion!
Kein Wunder, dass sich daraufhin nur zwei von den Ransomisten gemeldet haben - sind meines Erachtens auch die beiden jüngsten Vertreter der Branche!
Irgendwie bezweifel ich sogar die Echtheit dieser beiden Aussagen…schliesslich hat die Ransom-Szene es vorab auch nicht interessiert, dass bei ihren Aktionen Menschenleben gefährdet wurden - warum dann ausgerechnet jetzt??
Wie gesagt, deine Meinung hat da meine volle Zustimmung…der Fehler im System sitzt zumeist nur 50 cm vor dem Computer!! Und die, welche es betrifft, werden wohl wiklich nur durch den Schaden im Anschluß klug! Trotzdem hat diese Aktion von BC einfach nur einen faden Beigeschmack im Gesamten… :wink:

Soviel als Nachtrag zu den Versprechen der Ransomware-Betreiber!!!

Medizinische Einrichtungen laut Interpol verstärkt im Visier von Ransomware (Stand: 07.04.2020)

Angesichts von Covid-19 beteuerten einige Ransomware-Gangs erst kürzlich, Krankenhäuser zu verschonen. Interpol warnt allerdings vor dem gegenteiligen Trend.

Das Cybercrime Threat Response Team der Internationalen Kriminalpolizeilichen Organisation (INTERPOL) hat einen signifikanten Anstieg von Ransomware-Angriffen auf Organisationen und Infrastrukturen festgestellt, die sich der Bekämpfung des Coronavirus widmen.

Eine Pressemitteilung von Interpol nennt insbesondere Krankenhäuser und andere medizinische Einrichtungen als derzeit besonders beliebte Angriffsziele. Offenbar schrecken die Angreifer angesichts der Chance auf Lösegeld nicht davor zurück, Daten zu verschlüsseln, die sowohl für die Gesundheit der Patienten als auch für reibungslose Arbeitsabläufe essenziell bis überlebenswichtig sind.

Gefahr lauert vor allem in Corona-Spam:
Interpol hat laut Pressemitteilung eine sogenannte „Purple Notice“ (lila Ausschreibung) an die Polizeibehörden ihrer 194 Mitgliedstaaten gesendet, um diese auf die zunehmende Bedrohung hinzuweisen. Interpol überwache kontinuerlich alle mit Covid-19 in Verbindung stehenden Bedrohungen und sammle in Zusammenarbeit mit der IT-Sicherheitsindustrie diesbezügliche Informationen. Die nutze die Organisation, um die Mitgliedsstaaten bei polizeilichen Ermittlungen, Gefahrenabwehr und Co. zu unterstützen.

Interpol warnt Krankenhäuser und andere medizinische Einrichtungen insbesondere vor E-Mails mit Links und schädlichen Anhängen. Diese seien derzeit der primäre Verbreitungsvektor für Ransomware. Häufig gäben sich die Absender etwa als Regierungsbehörden aus, die Informationen oder Ratschläge zur Pandemie verschickten. Angesichts eines solchen Vorwandes sei die Wahrscheinlichkeit, dass der Empfänger die Links oder Anhänge öffne, besonders hoch.

Leere Versprechungen der Cyber-Erpresser:

Mitte März hatte die IT-News-Website Bleeping Computer Erpresser-Gangs kontaktiert, um sie zu ihrem Angriffsverhalten während der Coronavirus-Pandemie zu befragen. Die Macher der Ransomware DoppelPaymer hatten damals eine „Corona-Pause“ für Krankenhäuser versprochen; die Entwickler von Maze beteuerten gar, „alle Aktivitäten gegen alle Arten von medizinischen Einrichtungen“ zu stoppen, bis sich die Situation stabilisiert habe.

Die Gang um den Verschlüsselungstrojaner Ryuk reagierte gar nicht erst nicht auf die Frage. Ende März berichtete Bleeping Computer dann, dass die Ryuk-Gang ihre Angriffe auf Krankenhäuser offenbar unverändert fortsetze. Die Maze-Gang attackierte ihrerseits nur wenige Tage nach ihrem Statement laut einem Forbes-Artikel ein Labor, das in den Startlöchern für Tests möglicher Impfstoffe gegen Covid-19 stand.

Auch das Gros der anderweitig spezialisierten Cyber-Gangster zeigte sich in den vergangenen Wochen gewohnt skrupellos und bereit, die derzeitige Situation für ihre Zwecke auszunutzen. So legten Hacker im März ein tschechisches Krankenhaus lahm, Malware-Macher und Phisher setzen auf gefälschte Corona-Karten und -Apps und auch das Geschäft mit überteuerten oder frei erfundenen Atemschutzmasken boomt. (Heise Online)

Ob die Angreifer wirklich die Entwickler der jeweiligen Ransomware sind, bleibt im Dunkeln. Der Verdacht liegt ja hier nahe, dass irgendwelche Skriptkiddies und Möchtegern-Hacker die Trojaner in die Hände bekommen haben. Die kann man ja sicher in Untergrund-Foren erwerben oder mieten (inkl. Botnetze)…

Naja, ich sag mal so: Es waren ja nur die Entwickler von MAZE und DoppelPaymer, die damals überhaupt bei Bleeping Computer geantwortet hatten!
Der Angriff der MAZE-Gruppierung, der dann trotzdem stattgefunden hat, wurde nicht nur bei Forbes veröffentlicht, sondern ist auch bei Kaspersky und McAfee hinterlegt!
Natürlich gibt es immer Trittbrettfahrer und Skriptkiddies, die meinen sich provilieren zu müssen. Aber in dem genannten Fall kann es sich nur um die MAZE-Gruppierung selber handeln, da sie bei jedem geglückten Angriff ein kompl. anderes Malware-Sample nutzen! Sollte also ein Kiddie irgend ein altes Sample verwenden, wäre das bei Kaspersky sowie McAfee direkt aufgefallen - war aber nicht so!
Hinter MAZE und seinen Ablegern existiert eine sehr komplizierte und auch sehr große Infrastruktur, da sie nicht nur blödsinnig Verschlüsseln und Erpressen, sondern sämtliche Firmendaten aus dem internen Netzwerk absaugen und ggfs. veröffentlichen…
Mieten kannst du bei denen rein gar nichts und nachbauen kann man diese Infrastruktur auch nur dann, wenn man sehr viel Zeit, Energie, Geld und Kenntnisse hat!! Wenn derjenige alles davon hat, dann kann er auch gleich was eigenes auf die Beine stellen… :wink:
Bei Ransomware, gerade wenn sie hochaktuell ist und eingesetzt wird, kann man eigentlich nie etwas erwerben / mieten…Man kann die Macher beauftragen z.B. eine Konkurrenzfirma in den Ruin zu treiben, dafür mußte dann aber richtig blechen! Ransomware ist meines Erachtens ein paar Nummern zu hoch für Skriptkiddies und Möchtegerns…!