Sicherheitsforscher von Check Point untersuchen seit August 2018 fortlaufend die Malware DanaBot. Nun bestätigen sie, dass ein Update das Schadprogramm befähigt, als Ransomware eingesetzt zu werden, um Lösegelder für verschlüsselte Dateien zu fordern.

Die Angreifer versenden gefälschte E-Mails mit unterschiedlichen Inhalten, die einen Link zu angeblichen Dokumenten enthalten, die auf GoogleDocs hochgeladen wurden. Die angebotene Datei enthält ein VBS-Script, das als Dropper für die Malware dient.

Wird die Datei nach dem Herunterladen geöffnet, dann entpackt der Dropper automatisch die DanaBot Downloader DLL in den Temp-Ordner des Betriebssystems und registriert sie als Dienst. Danach versucht DanaBot eine Verbindung mit dem Command & Control (C&C)-Server der Angreifer aufzubauen.

Seit April 2019 wurde DanaBot nun um die Funktion erweitert, als Ransomware zu arbeiten. Dabei fällt die Malware unter die Kategorie der NonRansomware-Distribution. Das bedeutet, dass die Software irgendwelche Daten auf den lokalen Festplatten auswählt und verschlüsselt, aber nicht den Windows-Systemordner. Die verschlüsselten Daten bekommen die neue Endung .non angehängt. Außerdem wird in jedem Ordner, der verschlüsselte Datensätze enthält, eine Lösegeldforderung als .txt-Datei platziert.

Die Sicherheitsforscher von Check Point weisen darauf hin, dass die Entwickler hinter DanaBot die Software seit einem Jahr kontinuierlich weiterentwickeln und erwarten auch in naher Zukunft neue Funktionen und Verbesserungen. Zudem versuchen die Cyberkriminellen ihre Zusammenarbeit mit anderen Gruppierungen zu erweitern.

Check Point empfiehlt außerdem ausdrücklich, auf keine Lösegeldforderung einzugehen, um die Motivation der Kriminellen nicht anzufeuern. Stattdessen bietet Check Point ein Entschlüsselungsprogramm gegen Angriffe durch NonRansomware-Schädlinge. Kunden von Check Point sind gegen DanaBot und ähnliche Bedrohungen durch den SandBlast Agent geschützt.

Weitere Beiträge....