{"id":15467,"date":"2020-01-09T11:33:00","date_gmt":"2020-01-09T10:33:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=15467"},"modified":"2020-01-07T11:37:07","modified_gmt":"2020-01-07T10:37:07","slug":"ransomware-startet-pcs-im-abgesicherten-modus-um-schutzmechanismen-auszuhebeln","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=15467","title":{"rendered":"Ransomware startet PCs im abgesicherten Modus, um Schutzmechanismen auszuhebeln"},"content":{"rendered":"\n

SophosLabs<\/a> und Sophos Managed Threat Response<\/a> haben einen Bericht<\/a> \u00fcber eine neue Ransomware ver\u00f6ffentlicht, die eine bisher noch nicht bekannte Angriffsmethode verwendet: Die sogenannte Snatch-Ransomware geht mit variierenden Techniken vor und veranlasst unter anderem einen Neustart \u00fcbernommener Computer im abgesicherten Modus, um verhaltensorientierte Schutzma\u00dfnahmen, die speziell nach Ransomware-Aktivit\u00e4ten wie das Verschl\u00fcsseln von Dateien Ausschau halten, zu umgehen. Sophos geht davon aus, das Cyberkriminelle damit eine neue Angriffstechnik etabliert haben, um fortschrittliche Schutzmechanismen auszuhebeln.<\/p>\n\n\n\n

\"\"
Screenshot: Sysbus<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Neben der neuen Angriffstaktik belegt ein weiterer\ninteressanter Fund, dass sich ein anderer Trend fortzusetzen scheint:\nKriminelle filtern immer h\u00e4ufiger Daten heraus, bevor die eigentliche\nRansomware-Attacke startet. Die entwendeten Daten k\u00f6nnten zu einem sp\u00e4teren\nZeitpunkt f\u00fcr Erpressungen, auch in Zusammenhang mit der DSGVO, verwendet\nwerden. \u00c4hnliches Verhalten konnten die SophosLabs zum Beispiel bei\nRansomware-Gruppen wie Bitpaymer feststellen. <\/p>\n\n\n\n

\u201eWir gehen davon aus, dass sich derartige Hybride aus\nDaten-Diebstahl und Ransomware in Zukunft h\u00e4ufen werden\u201c, so Michael Veit,\nIT-Security-Experte bei Sophos. \u201eSnatch ist ein weiteres Beispiel f\u00fcr eine\nautomatisierte Angriffsmethode, wie sie SophosLabs in seinem Threat Report<\/a> 2020 beschrieben\nhat. Sobald Angreifer \u00fcber Fernzugriffsdienste in ein System eingedrungen sind,\nnutzen sie das sogenannte Hand-To-Keyboard-Hacking, um m\u00f6glichst viel Schaden\nanzurichten.\u201c Der Snatch-Report beschreibt, wie Hacker versuchen, Zugang via\nunsicherer IT-Fernzugriffsdienste zu erlangen, beispielsweise \u00fcber das Remote\nDesktop Protocol (RDP). Zudem enth\u00e4lt das Dokument zahlreiche\nHintergrundinformationen zur Szene, die unter anderem beschreiben, wie die\nSnatch-Sch\u00f6pfer versuchen, Kollaborateure in Dark-Web-Foren zu rekrutieren.<\/p>\n\n\n\n

Ebenfalls\nkein Zufall scheint der Name \u201eSnatch\u201d zu sein. In fr\u00fchen Versionen der\nRansomware findet sich im Erpressungsschreiben die E-Mail-Adresse\nImBoristheBlade [at] protonmail.com. Dies k\u00f6nnte eine Referenz an den Film\n\u201eSnatch\u201c mit Brad Pitt aus dem Jahr 2000 sein, in dem eine KGB-Agentencharakter\nnamens Boris the Blade mit von der Partie ist, der sich durch seine Flinkheit\nund Z\u00e4higkeit auszeichnet. Und auch der von den Hackern im Dark Web genutzte\nDeckname Bullet Tooth Tony taucht im selben Film auf.<\/p>\n\n\n\n

Schutzma\u00dfnahmen gegen Snatch & Co.<\/strong><\/p>\n\n\n\n