Categories: CybersicherheitVirus

Microsoft: Iranische Hacker verschlüsseln Windows-Systeme per BitLocker

Microsoft hat eine Welle von Cyberangriffen analysiert, bei der Microsofts hauseigene Verschlüsselungstechnik BitLocker zum Einsatz kommt, um Windows-Systeme zu verschlüsseln und unbrauchbar zu machen. Die Attacken ordnet Microsofts Threat Intelligence Team einer DEV-0270 genannten Gruppe zu, bei der es sich um einen Ableger der vom iranischen Staat unterstützten Phosphorus-Gruppe handeln soll.

DEV-0270, auch als Nemesis Kitten bezeichnet, soll vor allem bekannte Sicherheitslücken nutzen, um Netzwerke zu kompromittieren und Ransomware einzuschleusen. Aufgrund der Auswahl der Ziele, die augenscheinlich nicht immer einen strategischen Wert für die iranische Regierung haben, geht Microsoft davon aus, dass einige Angriffe ausschließlich monetäre Ziele verfolgen.

“DEV-0270 nutzt Schwachstellen mit hohem Schweregrad aus, um sich Zugang zu Geräten zu verschaffen, und ist dafür bekannt, dass sie neu entdeckte Schwachstellen frühzeitig ausnutzt. DEV-0270 verwendet außerdem in der gesamten Angriffskette in großem Umfang LOLBINs (Living-off-the-Land Binarys) für die Entdeckung und den Zugriff auf Anmeldeinformationen. Dies erstreckt sich auch auf den Missbrauch des integrierten BitLocker-Tools zur Verschlüsselung von Dateien auf kompromittierten Geräten”, schreibt Microsoft in einem Blogeintrag.

Alternativ wird mit DiskCryptor verschlüsselt

Der Analyse zufolge nutzen die iranischen Hacker bekannte Exploit für Schwachstellen wie ProxyLogon und Log4j. Über letztere sei allerdings bisher keine Ransomware eingeschleust worden. Außerdem sollen sie neue Benutzerkonten und geplante Aufgaben einrichten, um sich einen dauerhaften Zugang zu einem System zu verschaffen.

Die BitLocker-Verschlüsselung werde mit Befehlen aus einer Stapelverarbeitungsdatei aktiviert. “Das führte dazu, dass die Rechner nicht mehr funktionsfähig waren”, ergänzte Microsoft. “Für Workstations verwendet die Gruppe DiskCryptor, ein Open-Source-System zur vollständigen Festplattenverschlüsselung für Windows, das die Verschlüsselung der gesamten Festplatte eines Geräts ermöglicht. Die Gruppe lässt DiskCryptor aus einer RDP-Sitzung heraus fallen, und wenn es gestartet wird, beginnt die Verschlüsselung. Diese Methode erfordert einen Neustart zur Installation und einen weiteren Neustart, um den Zugriff auf die Arbeitsstation zu sperren.”

Lösegeldforderungen stellt die Gruppe laut Microsoft innerhalb von zwei Tagen nach dem ersten Zugriff auf ein System. In mindestens einem Fall wurde ein Betrag von 8000 Dollar gefordert. Wie andere Cybererpresse fährt aber auch DEV-0270 zweigleisig. Bei einem Angriff, bei dem das Opfer keine Lösegeld gezahlt habe, seien anschließend gestohlene Daten veröffentlicht worden.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Sicherheitsaspekte im Online-Gaming

Sowohl „just for fun“ als auch als ernster Liga-Wettkampf oder als Glücksspiel mit echtem Geld…

2 Stunden ago

Digitale Richterassistenten für Justiz Baden-Württemberg

KI soll Richter in der Sozialgerichtsbarkeit entlasten, indem die Aktenstrukturierung vereinfacht wird.

5 Stunden ago

Autonome KI Sales Agents unterstützen Vertrieb

Einstein Sales Development Rep (SDR) Agent und Einstein Sales Coach Agent von Salesforce werden ab…

21 Stunden ago

All-Flash-Rechenzentren senken Energiekonsum durch KI

KI und ihre riesigen Datenmengen stellen die ohnehin schon überlasteten Rechenzentren vor echte Herausforderungen, warnt…

3 Tagen ago

Digitaler Zwilling hilft Hofbieber zur Erreichung der Klimaziele

Die hessische Gemeinde plant, bis 2030 klimaneutral zu werden, indem sie einen Digitalen Zwilling von…

3 Tagen ago

Stromversorgung und Kühlung im KI-Rechenzentrum

Durch Künstliche Intelligenz verändert sich die Infrastruktur von Rechenzentren grundlegend, sagt Anton Chuchkov von Vertiv.

3 Tagen ago