HOME
GESELLSCHAFT
MEINUNG
Massiver Angriff durch Erpressungstrojaner Scarab

Massiver Angriff durch Erpressungstrojaner Scarab

Autor des Artikels : Klaus Ahrens  
Zum Original-Artikel

Massiver Angriff durch Erpressungstrojaner ScarabDer Sicherheitsanbieter Forcepoint deckte eine flächendeckende Kampagne auf, die eine relativ neue Erpressungs-Software namens Scarab verbreitet und damit Systeme unter dem Betriebssystem Windows gefährdet.

Der Angriff begann vorgestern

Der Angriff begann am frühen Morgen des 23. November und benutzte das berüchtigte Botnet Necurs, um innerhalb von nur wenigen Stunden immerhin 12,5 Millionen Emails mit der angehängten Malware zu zuzustellen.

Massiver Angriff durch Erpressungstrojaner ScarabDiese Massen an Emails gingen überwiegend an die TLD .com – gefolgt von .com.uk, .com.au, .fr und .de.

Großbritannien, Australien, Frankreich und Deutschland gehörten also zu den anvisierten Zielen der Erpressungs-Kampagne.

Scarab selbst gehört zu einer recht neuen Ransomware-Familie, die gerade erst vor ein paar Monaten im Juni dieses Jahres entdeckt wurde.

Bei dem aktuell laufenden Angriff kommt eine Variante zum Einsatz, die bei ihrer Ausführung eine Kopie als %Application Data%\sevnz.exe anfertigt und danach einen Registry-Eintrag zum Autostart erstellt. Außerdem führt Scarab Befehle aus, mit denen Recovery-Features von Windows ausgeschaltet werden.

Wenn die Schadsoftware mit der Verschlüsselung von Dateien loslegt, erweitert sie die die Dateinamen um „.[[email protected]].scarab“. Die fehlerhafte Schreibweise des Wortes „support“ hat vermutlich damit zu tun, dass die gewünschte E-Mail-Adresse beim Protonmail-Dienst schon vergeben war.

Ungewöhnliche Lösegeldforderung

Ist der Verschlüsselungsvorgang abgeschlossen, entfernt das Programm die ursprünglich angelegte eigene Kopie wieder. Die Erpresser fordern ihre Opfer dann auf, über die genannte E-Mail-Adresse Kontakt mit ihnen aufzunehmen. Falls der Provider die Adresse während der anlaufenden Kampagne sperrt, geben sie bei ihrer Lösegeldforderung eine weitere Kontaktmöglichkeit über BitMessage an.

Ungewöhnlich ist es, dass die Erpresser nicht direkt einen Betrag für die Entschlüsselung der Daten angeben. „Der Preis hängt davon ab, wie schnell Sie sich an uns wenden“, heißt es dazu in ihrem Erpresserschreiben, das die Schadsoftware nach ihrer Ausführung automatisch öffnet.

Das könnte Ihnen gefallen


wallpaper-1019588
LUCK LIFE: Band feiert Europapremiere auf der Connichi
April 26, 2024
Animenachrichten
wallpaper-1019588
Wind Breaker: Deutscher Simuldub bei Crunchyroll gestartet
April 26, 2024
Animenachrichten
wallpaper-1019588
Kizuna no Allele: Erste Staffel erscheint auf Disc
April 26, 2024
Animenachrichten
wallpaper-1019588
Acro Trip: Promo-Video verrät Startzeitraum
April 26, 2024
Animenachrichten