Bucbi Ransomware taucht mit voller Kraft wieder auf

Vor einigen Jahren terrorisierte die Bucbi Ransomware Windows-Benutzer, indem sie ihre persönlichen Dateien mithilfe eines RSA-Verschlüsselungs-Algorithmus verschlüsselte. Diese Bedrohung griff Computernutzer willkürlich an, und ihre Verbreitung hatte keinen Sinn oder Verstand. Genau wie die meisten Ransomware-Bedrohungen heutzutage verließ sich diese Infektion auf Exploit-Kits und Phishing-Angriffen, um in Computer einzudringen, aber niemand wurde speziell angegriffen. Obwohl diese Infektion wahrscheinlich tonnenweise Geld für ihre Entwickler generierte, sind diese angesichts dessen, dass sie eine Gebühr von 0,5 BTC von jedem einzelnen Opfer verlangte, noch nicht zufrieden gestellt, und die bösartige Bucbi Ransomware tauchte vor kurzem mit einem Upgrade wieder auf. Diese Infektion ist gefährlicher als je zuvor, und es ist entscheidend, dass Sie sich davor schützen.

Es ist unwahrscheinlich, dass Sie zu einem Opfer von Bucbi Ransomware werden, wenn Sie ein regulärer Windows-Benutzer sind, zumindest nicht direkt. Laut der neuesten Recherche zählt diese Infektion besonders auf Unternehmensnetzwerke ab, und sie plant ihre Angriffe jetzt sehr sorgfältig. Reguläre Benutzer könnten indirekt Opfer diese Infektion werden, wenn ihre privaten Daten, die auf Unternehmensnetzwerken gespeichert sind, veröffentlicht wären alles in allem sind diese Benutzer nicht, worauf diese Ransomware abzielt. Laut den Forschern des Netzwerks Palo Alto nutzt diese bösartige Infektion RDP-Anschlüsse (Remote Desktop Protokol), um Unternehmensnetzwerke zu übernehmen, was wahrscheinlich unter Verwendung eines Tools namens „RDP Brute“ erfolgt. RDP kann verwendet werden, um aus der Ferne auf Server zuzugreifen, doch in den meisten Fällen werden sie für den Administratorzugang verwendet. Im Falle von Bucbi wird die sogenannte Brute force RDP Attacke eingesetzt, um RDP-Server zu erkennen. Sobald ein Server erkannt wurde, versucht die Infektion, sich als Administrator anzumelden, was bei Erfolg dem Fernangreifer die Erlaubnis gibt, zu tun, was er will. Einige der Benutzernamen, mit denen diese Infektion versucht, sich anzumelden, sind Administrator, Admin, HelpAssistant, POS, SALES, und Staff. Diese Art von Angriff könnte verhindert werden, indem man starke Passwörter verwendet und das System einstellt, dass es nach einigen fehlgeschlagenen Login-Versuchen gesperrt wird.

Die Verbindung zu einem C&C-Server (Control and Command) ist für die Bucbi Ransomware nicht erforderlich, nachdem sie eingedrungen ist, was sie noch viel gefährlicher macht. Fernangreifer übernehmen die volle Kontrolle des Desktops und sie können die Datei Verschlüsselung initiieren. Es ist auch bemerkenswert, dass diese Infektion sensitive Daten veröffentlichen und gleichzeitig den Netzwerkverkehr beobachten kann. Sobald sie sich im Angriffsmodus befindet, verschlüsselt diese Infektion Dateien in verschiedenen Verzeichnissen im System, umgeht die Windows- und Programm-Dateien (Programm Dateien (x86)), um die Funktion des Betriebssystems nicht zu stören. Ziel dieser Infektion ist es, Dateien zu entführen, die nicht so einfach wiederhergestellt werden können. Diese Dateien werden unter Verwendung eines starken Verschlüsselungs-Algorithmus verschlüsselt, doch das ist nicht alles. Wie bereits erwähnt, ist es möglich, dass private Dateien veröffentlicht werden, was weiterhin die Administratoren der betroffenen Netzwerke dazu bringen soll, den ihnen dargestellten Anforderungen zu folgen. Die Bucbi Ransomware könnte diese Anforderungen über ein Popup-Fenster oder einen Hintergrund auf dem Desktop darstellen, und sie werden über eine README.TEXT auf dem Desktop dargestellt. Hier sind die Anforderungen.

We are members of Ukrainian Right Sector.
You are taking money worldwide until we are fighting with world’s evil into the East of our Motherland.
To decrypt files you need to obtain a private key.
You have to transfer 5 BTC into the our account [xxxxx] for us.
Also you have to send message for us to e-mail: dopomoga.rs@gmail.com.
After it you’ll get the cryptokey for decrypt your files.

Es ist unklar ob diese Ransomware zum ukrainischen rechten Sektor gehört oder nicht, und es ist möglich, dass dieser Name nur verwendet wird, um die wirklichen Cyberkriminellen zu verbergen. Gemäß unserer Recherche befanden sich die IPs, die für die Angriffe dieser Infektion verwendet wurden, in Russland, Schweiz, Rumänien und den Niederlanden, weshalb es nicht bekannt ist, wo diese Bedrohung ursprünglich herstammt. Es ist offensichtlich, dass die Cyberkriminellen hinter dieser Bedrohung auf Unternehmensnetzwerke abzielen, da die angeforderte Gebühr extrem hoch ist. 5 BTC (Bitcoins) sind umgerechnet 2260 USD oder 1988 Euro, und es ist unwahrscheinlich, dass reguläre Computerbenutzer so viel Geld zahlen würden. Unternehmensnetzwerke auf der anderen Seite haben möglicherweise keine andere Wahl, wenn Sie Ihre Dateien entschlüsseln und ihre Daten sicher halten möchten. Bitcoins sind eine instabile Währung, und die Umrechnungsrate könnte zum jetzigen Zeitpunkt bereits anders sein.

Unter Berücksichtigung, dass die Bucbi Ransomware aktualisiert wurde, wird sie als unberechenbare Windows-Infektion betrachtet. In der Vergangenheit zielte sie auf reguläre Computernutzer ab, und es wurde entwickelt, persönliche Dateien zu verschlüsseln (zum Beispiel Fotos und Dokumente) unter Verwendung des RSA-Verschlüsselungs-Algorithmus. Im Moment verwende diese Infektion Brute Force RDP- Angriffe, um die Administratorenrechte auf Unternehmensnetzwerken zu übernehmen. Es gibt einige Dinge, die man tun kann, um die Infiltrierung dieser Malware zu vermeiden, und das erste ist, zuverlässige aktualisierte Sicherheitssoftware zu implementieren. Zusätzlich ist es wichtig, die Administratorenkonten zu schützen. Wir empfehlen die Verwendung starker Passwörter, die Implementierung eines Zwei-Faktoren-Authentifizierungssystems und möglicherweise die Einstellung, dass Systeme nach einer bestimmten Anzahl fehlgeschlagener Versuche, sich einzuloggen, gesperrt werden. Es ist auch sinnvoll, nach Software zu suchen, die RDP beobachten und Brute Force- Angriffe stoppen könnte.

Antwort schreiben