DanaBot verlangt nun Lösegelder
11. Juli 2019
Bereits seit August 2018 wird die Malware DanaBot fortlaufend von den Sicherheitsforscher von Check Point Software Technologies untersucht. Nun bestätigen sie, dass ein Update das Schadprogramm befähigt, als Ransomware eingesetzt zu werden, um Lösegelder für verschlüsselte Dateien zu fordern.
Die Angreifer versenden gefälschte E-Mails mit unterschiedlichen Inhalten, die einen Link zu angeblichen Dokumenten enthalten, die auf GoogleDocs hochgeladen wurden. Die angebotene Datei enthält ein VBS-Script, das als Dropper für die Malware dient.
Wird die Datei nach dem Herunterladen geöffnet, dann entpackt der Dropper automatisch die DanaBot Downloader DLL in den Temp-Ordner des Betriebssystems und registriert sie als Dienst. Danach versucht DanaBot eine Verbindung mit dem Command & Control (C&C)-Server der Angreifer aufzubauen.
Beispiel einer Phishing-E-Mail mit Link zum DanaBot-Dropper
Seit April 2019 wurde DanaBot nun um die Funktion erweitert, als Ransomware zu arbeiten. Dabei fällt die Malware unter die Kategorie der NonRansomware-Distribution. Das bedeutet, dass die Software irgendwelche Daten auf den lokalen Festplatten auswählt und verschlüsselt, aber nicht den Windows-Systemordner.
Die verschlüsselten Daten bekommen die neue Endung .non angehängt. Außerdem wird in jedem Ordner, der verschlüsselte Datensätze enthält, eine Lösegeldforderung als .txt-Datei platziert.
Die Lösegeldforderung des Schädlings DanaBot
Die Sicherheitsforscher von Check Point weisen darauf hin, dass die Entwickler hinter DanaBot die Software seit einem Jahr kontinuierlich weiterentwickeln und erwarten auch in naher Zukunft neue Funktionen. Zudem versuchen die Cyber-Kriminellen ihre Zusammenarbeit mit anderen Gruppierungen zu erweitern.
Check Point empfiehlt außerdem ausdrücklich, auf keine Lösegeldforderung einzugehen, um die Motivation der Kriminellen nicht anzufeuern. Stattdessen bietet Check Point ein Entschlüsselungsprogramm gegen Angriffe durch NonRansomware-Schädlinge. Kunden von Check Point sind gegen DanaBot und ähnliche Bedrohungen durch den SandBlast Agent geschützt. (rhh)
