{"id":590,"date":"2024-10-10T21:22:14","date_gmt":"2024-10-10T21:22:14","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=590"},"modified":"2024-10-10T21:22:14","modified_gmt":"2024-10-10T21:22:14","slug":"neue-ransomware-zielt-auf-esxi-server","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=590","title":{"rendered":"Neue Ransomware zielt auf ESXi-Server"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">Die neue Ransomware-Gruppe Cicada3301 weist \u00c4hnlichkeiten zur AlphV-Bande auf.\n<p class=\"imageCredit\">Truesec<\/p>\n<\/div>\n<p>Forscher von\u00a0<a href=\"https:\/\/www.truesec.com\/hub\/blog\/dissecting-the-cicada\" target=\"_blank\" rel=\"noopener\">Trusec<\/a>\u00a0sind k\u00fcrzlich auf eine neue Ransomware-as-a-Service-Gruppe mit dem Namen Cicada3301 gesto\u00dfen. Die Bande bietet ihren Partnern eine Plattform f\u00fcr zweifache Erpressung, die sowohl eine Ransomware- als auch eine Datenleck-Seite umfasst. Laut Forschungsbericht ist sie erstmals im Juni 2024 in Erscheinung getreten und hat sich auf Windows- und Linux-<a href=\"https:\/\/www.csoonline.com\/de\/a\/neue-ransomware-verhindert-wiederherstellung-von-vmware-esxi,3674432\" target=\"_blank\" rel=\"noopener\">ESXi<\/a>-Hosts spezialisiert.<\/p>\n<h3 class=\"wp-block-heading\">\u00c4hnlichkeiten zu AlphV<\/h3>\n<p>In ihrer Analyse stellten die Sicherheitsforscher fest, dass die Gruppe \u00c4hnlichkeiten zur inzwischen\u00a0<a href=\"https:\/\/www.csoonline.com\/de\/a\/spekulationen-um-razzia-bei-alphv-bande,3681198\" target=\"_blank\" rel=\"noopener\">nicht mehr aktiven Cybergang AlphV<\/a>\u00a0(auch bekannt als BlackCat) aufweist: \u201cBei beiden ist die Ransomware in Rust geschrieben, beide nutzen ChaCha20 zur Verschl\u00fcsselung. Zudem sind die Befehle zum Herunterfahren von VMs und Entfernen von Snapshots nahezu identisch und beide nutzen einen -ui-Parameter zur Ausgabe einer Grafik bei der Verschl\u00fcsselung.\u201d<\/p>\n<p>Bei dem von den Forschern untersuchten Angriff haben die Hacker g\u00fcltige Log-in-Daten f\u00fcr ScreenConnect f\u00fcr den initialen Einbruch verwendet. Die IP-Adresse der Kriminellen lie\u00df sich dabei auf ein Botnet namens \u201cBrutus\u201d zur\u00fcckf\u00fchren. Brutus steht dem Bericht zufolge in Zusammenhang mit einer gr\u00f6\u00dferen Credential-Stuffing-Kampagne auf diverse VPN-Programme, einschlie\u00dflich ScreenConnect.<\/p>\n<p>Da die IP-Adresse nur wenige Stunden zuvor auffiel, gehen die Experten davon aus, dass die Zugangsdaten in der kurzen Zeit nicht verkauft wurden. Zudem entdeckten sie einen weiteren Hinweis, der auf eine Verbindung mit der AlphV-Bande hindeuten k\u00f6nnte: Die Brutus-Botnet-Aktivit\u00e4ten gingen rund zwei Wochen los, nachdem AlphV mit einer letzten Betrugsmasche von der Bildfl\u00e4che verschwunden war.<\/p>\n<p><em>Sie m\u00f6chten regelm\u00e4ig \u00fcber alles Wichtige rund um Cybersicherheit informiert werden? Unser kostenloser\u00a0<a href=\"https:\/\/www.csoonline.com\/de\/p\/newsletter,17933\" target=\"_blank\" rel=\"noopener\">Newsletter\u00a0<\/a>liefert Ihnen alles, was Sie wissen m\u00fcssen.<\/em><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Die neue Ransomware-Gruppe Cicada3301 weist \u00c4hnlichkeiten zur AlphV-Bande auf. Truesec Forscher von\u00a0Trusec\u00a0sind k\u00fcrzlich auf eine neue Ransomware-as-a-Service-Gruppe mit dem Namen Cicada3301 gesto\u00dfen. Die Bande bietet ihren Partnern eine Plattform f\u00fcr zweifache Erpressung, die sowohl eine Ransomware- als auch eine Datenleck-Seite umfasst. Laut Forschungsbericht ist sie erstmals im Juni 2024 in Erscheinung getreten und hat sich [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":591,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-590","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/590"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=590"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/590\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/591"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=590"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=590"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=590"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}