Kaspersky hat drei neue finanziell-motivierte Bedrohungen identifiziert, die Daten und Geld stehlen. Es handelt sich um den Multi-Purpose-Stealer Lumar, die Ransomware Rhysida und den GoPIX-Stealer, spezialisiert auf das Instant-Payment-System der brasilianischen Zentralbank.
Kaspersky hat drei neue finanziell-motivierte Bedrohungen identifiziert, die Daten und Geld stehlen [1]. Es handelt sich um den Multi-Purpose-Stealer Lumar, die Ransomware Rhysida und den GoPIX-Stealer, spezialisiert auf das Instant-Payment-System der brasilianischen Zentralbank.
Der aktuelle Crimeware Report von Kaspersky untersucht drei neue Schadprogramme, die darauf abzielen, Daten und Geld zu stehlen.
Lumar ermöglicht
Aufzeichnen von Telegram-Sessions
Bei Lumar handelt es sich um einen Multi-Purpose-Stealer, der erstmals im Juli
2023 verbreitet wurde und zunehmend zum Einsatz kommt. Der Stealer kann Telegram-Sessions
aufzeichnen, Passwörter, Cookies und AutoFill-Daten sowie Daten aus
verschiedenen Krypto-Wallets stehlen und Desktop-Dateien der Nutzer abrufen.
Sobald er ausgeführt wird, sammelt Lumar Systeminformationen und Nutzerdatzen
und sendet sie an einen C2-Server (Command-and-Control). Der vom
Malware-Entwickler als Malware as a Service (MaaS) gehostete
Command-and-Control-Server bietet nutzerfreundliche Funktionen wie Statistiken
und Datenprotokolle. Mit der neuesten zum Download angebotenen Version, können
Nutzer Telegram-Benachrichtigungen über eingehende Daten erhalten.
Rhysidas Talent zur
Spurenverwischung
Weiterhin fanden die Experten von Kaspersky eine neue Ransomware: Rhysida wurde
von Kasperskys Telemetrie entdeckt und fungiert als RaaS
(Ransomware-as-a-Service). Sie ist in der Lage, sich selbst zu löschen, und ist
mit älteren Windows-Versionen als Windows 10 kompatibel. Rhysida wurde in C++
geschrieben und mit MinGW sowie Shared Libraries kompiliert, das Design ist
äußerst ausgeklügelt. Die anfangs von Rhysida bewältigten Startschwierigkeiten
bei der Konfiguration seines Onion-Servers demonstrieren die schnelle
Anpassungsfähigkeit der Ransomware-Gruppe.
GoPix zielt auf Brasiliens
Bezahlsystem PIX ab
Außerdem entdeckten die Kaspersky-Experten mit GoPIX eine seit Dezember 2022
laufende schädliche Kampagne, die Brasiliens weitverbreitetes Bezahlsystem PIX
im Visier hat. Suchen Nutzer nach „WhatsApp web“, werden sie über irreführende
Anzeigen umgeleitet. GoPIX nutzt das Anti-Fraud-Tool von IP Quality Score, um
echte Nutzer von Bots zu unterscheiden, so dass zwei Download-Optionen
angeboten werden, die auf dem Status von Port 27275 basieren, der mit der Avast
Safe Banking Software verknüpft ist. Die Malware, die darauf ausgelegt ist,
Transaktionsdaten zu stehlen und zu manipulieren, kann unterschiedliche
Vorgänge ausführen und reagiert auf Befehle von einem
Command-and-Control-Server.
„Angesichts der steigenden Zahl von Cyberbedrohungen, die finanziell motiviert
sind, bleibt unser Engagement für den Schutz digitaler Ökosysteme ungebrochen“,
sagt Jornt van der Wiel, Senior Security Researcher im Global Research &
Analysis Team (GReAT) bei Kaspersky. „Wir verfolgen die Entwicklung der
Bedrohungslandschaft genau und entwickeln Sicherheitslösungen, um Angriffe
proaktiv zu bekämpfen. Um die nötige Sicherheit zu gewährleisten, raten wir
nachdrücklich zu einer robusten Cybersicherheitsstrategie, die derartige
Bedrohungen wirksam abwehrt.“
Kaspersky-Empfehlungen zum Schutz vor Bedrohungen
- Offline-Backups einrichten, die nicht manipuliert werden können, und sicherstellen, dass bei Bedarf oder im Notfall schnell auf diese Daten zugegriffen werden kann.
- Ransomware-Schutz auf allen Endpunkten installieren. Das kostenfrei erhältliche Kaspersky Anti-Ransomware Tool for Business [2] schützt Computer und Server vor Ransomware und anderen Arten von Malware, verhindert Exploits und ist mit bereits installierten Sicherheitslösungen kompatibel.
- Eine Schutzlösung für Endgeräte und Mailserver mit Anti-Phishing-Funktionen, wie Kaspersky Endpoint Security for Business [3], implementieren, um das Risiko einer Infektion durch Phishing-E-Mails zu verringern.
- Cybersicherheits-Audits der Netzwerke durchführen, um Schwachstellen am Netzwerkperimeter oder innerhalb des Netzwerks zu entdecken und zu beheben.
- Bei einem Ransomware-Angriff kein Lösegeld zahlen, sondern die zuständigen Ermittlungsbehörden informieren. Die No-More-Ransom-Initiative [4] bietet kostenfreie Entschlüsselungstools an.
Weitere Informationen zu den Cyberbedrohungen sind verfügbar unter https://securelist.com/crimeware-report-gopix-lumar-rhysida/110871/
[1] https://securelist.com/crimeware-report-gopix-lumar-rhysida/110871/
[2] https://www.kaspersky.com/anti-ransomware-tool
[3] https://www.kaspersky.de/enterprise-security/endpoint
[4] https://www.nomoreransom.org/de/index.html
Nützliche Links:
- Kaspersky Crimeware Report: https://securelist.com/crimeware-report-gopix-lumar-rhysida/110871/
- Kaspersky Anti-Ransomware Tool for Business: https://www.kaspersky.com/anti-ransomware-tool
- Kaspersky Endpoint Security for Business: https://www.kaspersky.de/enterprise-security/endpoint
- No-More-Ransom-Initiative: https://www.nomoreransom.org/de/index.html
