Hüten Sie sich vor dieser Drive-by-Download-Bedrohung durch Cloak-Ransomware für Windows
Obwohl in Wahrheit wenig über einen Cyberkriminellen bekannt ist, der die sogenannte Cloak-Ransomware-Bedrohung einsetzt, hat sich die Gruppe seit ihrem ersten Auftreten im Jahr 2022 schnell zu einem bedeutenden Akteur in der Ransomware-Landschaft entwickelt. Bedrohungsforscher von Halcyon haben dies getan Jetzt analysierte die Ransomware-Bedrohung Cloak und entdeckte eine neue und besorgniserregende Variante das nicht nur „ausgeklügelte Extraktions- und Privilegieneskalationsmechanismen“ anzeigt, sondern auch Prozesse im Zusammenhang mit Sicherheits- und Datensicherungstools beendet. Diese neue Cloak-Variante, warnte Halcyon, kann sich über gefährliche Drive-by-Downloads verbreiten, die als legitime Updates wie Microsoft Windows-Installationsprogramme getarnt sind. Folgendes müssen Sie wissen:
Die gefährliche Windows-Drive-by-Bedrohung Cloak Ransomware
Die neu veröffentlichte Halcyon-Analyse dieser neuesten Cloak-Ransomware-Variante beschreibt detailliert eine Reihe von Angriffsstrategien, die von den Bedrohungsakteuren verwendet werden, die den kriminellen Exploit betreiben. Netzwerkzugang, der über Erstzugangsvermittler erworben wird und Social Engineering Es überrascht nicht, dass es ganz oben auf der Liste steht. Phishing, böswillige Werbung Und Exploit-Kits werden alle eingesetzt, um die Cloak-Malware auf einem Zielsystem zu installieren, Halcyon hat jedoch auch gewarnt, dass die Angreifer eine sogenannte Cloak-Malware verwenden. Drive-by-Download-Taktik, bei der die Bedrohung als legitimes Systemupdate wie beispielsweise ein Windows-Installationsprogramm getarnt wird.
Man geht davon aus, dass Cloak mit der Ransomware-Gruppe „Good Day“ in Verbindung steht und eine Version einer Ransomware verwendet, die aus zuvor durchgesickerten Quellcodes der Babuk-Ransomware-Bedrohung abgeleitet wurde. Nicht, dass dies für Opfer oder potenzielle Opfer wirklich von Bedeutung wäre, aber wichtig ist, dass Cloak, sobald es über einen Loader mit eingebetteter Ransomware-Payload geliefert wird, laut diesem neuesten Bericht ausgefeilte Extraktions- und Privilegieneskalationsmechanismen verwendet. „Es beendet Prozesse und Dienste im Zusammenhang mit Sicherheit, Backups und Datenbanken“, warnten die Sicherheitsanalysten, „während Systemeinstellungen geändert werden, um Wiederherstellung und Benutzeraktionen zu behindern.“ Verschlüsselungsschlüssel werden sicher mit Curve25519 und SHA512 generiert und Dateien auf lokalen Laufwerken und Netzwerkfreigaben mithilfe eines HC-128-Algorithmus verschlüsselt. Die Cloak-Ransomware-Variante „nutzt fortschrittliche Umgehungstechniken, einschließlich der Ausführung von virtuellen Festplatten, um einer Entdeckung zu entgehen“, heißt es in dem Bericht.
Windows-Benutzer wurden vor der Persistenz und dem Erpressungsverhalten der Payload von Cloak gewarnt
Durch die Änderung von Windows-Registrierungseinträgen für die Startausführung sowie die Einschränkung von Benutzeraktionen, einschließlich Abmelden und Zugriff auf den Windows-Task-Manager, zielt Cloak darauf ab, die Persistenz der Nutzlast sicherzustellen. „Es stört Systemdienstprogramme, Netzwerkdienste und wichtige Anwendungen, was zu Betriebsausfallzeiten führt“, heißt es in dem Bericht. Die Erpressung eines Opfers erfolgt durch die Verwendung von Lösegeldscheinen, die als Windows-Desktop-Hintergrundbilder und Textdateien angezeigt werden. Cloak nutzt außerdem einigermaßen geschickt die „intermittierende Verschlüsselung für große Dateien“, so die Forscher, „und zielt auf bestimmte Blöcke ab, um den Schaden zu maximieren und gleichzeitig die Leistung zu optimieren.“ Oh, und vergessen wir nicht, dass die Angreifer im Rahmen der Angriffsmethode Schattenkopien und Backups löschen, um die Bedrohung gegenüber ihren Opfern auszunutzen.
Eines ist sicher: Die Bedrohung durch Cloak-Ransomware sollte nicht auf die leichte Schulter genommen werden, auch wenn Sie bisher noch nichts davon gehört haben. Wie es heutzutage üblich ist, wird eine Datenleck-Website dazu genutzt, gestohlene Daten zu veröffentlichen oder zu verkaufen, wenn den Ransomware-Anforderungen nicht nachgekommen wird. Es ist jedoch ein Beweis für die Effektivität der Gruppe, die sie für sich beanspruchen kann, und es ist natürlich nur eine Behauptung, dass die Lösegeldraten zwischen 91 % und 96 % liegen. Was auch immer die Wahrheit darin ist, Windows-Benutzern wird empfohlen, alle üblichen Vorsichtsmaßnahmen zu treffen, um das Risiko, Opfer eines Ransomware-Angriffs zu werden, zu verringern.
Ich habe Microsoft um eine Stellungnahme zu diesem Risiko für Windows-Benutzer gebeten.
