Der globale Gesundheitsnotstand hat zahlreiche Möglichkeiten für Cyberoffensiven geschaffen. Die Gesundheitsinfrastruktur hat sich auch angesichts der Angriffe auf die Weltgesundheitsorganisation (WHO) als sensibles Ziel erwiesen. Italien war gegen diese Angriffe nicht immun.
Am 25. Mai enthüllte CERT-AgID die Existenz einer Ransomware, die sich als Anti-Covid-App ausgab. Der Forscher JAMESWT hat eine Malspam-Kampagne entdeckt, durch die Hacker „einladen“, die schädliche IMMUNI.exe-Datei herunterzuladen, die die Ransomware enthält FickEinhorn.
In der E-Mail werden die Bürger aufgefordert, die ausführbare Datei auf einer Website herunterzuladen, die der des nachahmt Verordnungen des Verbandes der italienischen Apotheker. Die Domain der ad hoc erstellten Website lautet tatsächlich „fofl“, während das der Föderation „fofi“ ist, was den Betrug glaubwürdiger macht.
Nach dem Öffnen öffnet die Ransomware ein gefälschtes Dashboard mit den Ergebnissen der Covid-19-Kontamination, das dem vom Johns Hopkins University Center for Systems Science and Engineering (CSSE) erstellten Dashboard nachempfunden ist. Währenddessen werden die auf dem Computer verfügbaren Dateien verschlüsselt und in „.fuckunicornhtrhrtjrjy“ umbenannt. Sobald dies geschehen ist, erscheint als Gegenleistung für die Herausgabe der Daten eine Lösegeldforderung in Höhe von 300 €, zahlbar in Bitcoins.
In der CERT-AgID wurde detailliert beschrieben, wie die Ransomware funktioniert. Es verwendet den AES-CBC-Algorithmus und ein zufällig generiertes Passwort, das mit Command and Control (C&C) geteilt wird und unter http://116[.]203[.]210[.]127/write.php erreichbar ist. Die Suche nach Dateien erfolgt in den Ordnern:
-
Desktop
-
Links
-
Kontakt
-
Dokumente
-
Downloads
-
Fotos
-
Musik
-
Microsoft Onedrive
-
Gespeicherte Spiele
-
Favoriten
-
Suchen
-
Videos
Und es betrifft die Erweiterungsdateien: .txt, .jar, .exe, .dat, .contact, .settings, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, . png, .csv, .py, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .xml, .psd, .pdf, .dll, .c, .cs, .mp3, .mp4, .f3d, .dwg, .cpp, .zip, .rar, .mov, .rtf, .bmp, .mkv, .avi, .apk, .lnk, .iso, .7-zip, .ace, .arj, .bz2, .cab, .gzip, .lzh, .tar, .uue, .xz, .z, .001, .mpeg, .mp3, .mpg, .core, .crproj, .pdb , .ico, .pas, .db, .torrent“
Die CERT-AgID teilte mit, dass derzeit keine Transaktionen auf dem im Rücknahmeantrag angegebenen Kryptowährungskonto registriert wurden.
Ransomware wird zusammen mit Phishing-E-Mails zunehmend von kriminellen Hackern als einfach zu bedienende Tools eingesetzt.
Wie kann man diesen Angriffen begegnen?
Im Jahr 2016 startete das Europäische Zentrum für Cyberkriminalität von Europol in Zusammenarbeit mit der Nationalen Abteilung für High-Tech-Kriminalität der niederländischen Polizei und McAfee eine Initiative, um Opfern dabei zu helfen, ihre Daten wiederherzustellen, ohne die Kriminellen dafür bezahlen zu müssen.
Die Initiative, No More Ransom (NMR) zielt auch darauf ab, Angriffe zu verhindern, indem Benutzer über mögliche Gegenmaßnahmen aufgeklärt werden. Insbesondere auf der Website der Initiative (https://www.nomoreransom.org/it/prevention-advice.html) werden folgende Messungen gemeldet:
-
Sichern Sie Ihre Daten, „damit eine Ransomware-Infektion Ihre Daten nicht dauerhaft zerstört“. Erstellen Sie am besten ein Backup zum Speichern in der Cloud und eines zum physischen Speichern.
-
Verwenden Sie eine robuste Antivirensoftware.
-
Halten Sie die Software auf Ihrem Computer auf dem neuesten Stand, indem Sie neue Versionen des Betriebssystems installieren
-
Öffnen Sie keine E-Mail-Anhänge von Fremden
-
Aktivieren Sie in den Windows-Einstellungen die Option „Dateierweiterungen anzeigen“, um schädliche Dateien einfacher zu finden.
Die IMMUNI-App war und ist aufgrund möglicher Datenschutzlücken Gegenstand großer Debatten. Allerdings haben die Hacker bereits vor dem Start der Tracking-Anwendung Möglichkeiten für illegale Wirtschafts- und Datengewinne erkannt.
Sitographie:
https://cert-agid.gov.it/news/campagna-ransomware-fuckunicorn-sfrutta-emergenza-covid-19/
https://www.nomoreransom.org/it/index.html
Bilder: web / CERT-AgID
