logo SOS Ransomware
Kontakt 24/7
,

Die Ransomware Space Bears und Lexus verstehen

Die Cybersicherheit ist ein Bereich, der sich ständig weiterentwickelt, und die Bedrohungen durch Ransomware werden immer vielfältiger. Zu den jüngsten und besorgniserregendsten gehören Space Bears und Lexus, zwei Varianten, die gemeinsame Wurzeln mit der gefürchteten Phobos-Ransomware haben. Diese Neulinge zeichnen sich nicht nur durch ihre Fähigkeit aus, die Daten der Opfer zu verschlüsseln, sondern setzen auch andere aggressive Taktiken ein, um Geld zu erpressen. Wenn Sie sich mit den von Space Bears und Lexus angewandten Taktiken vertraut machen, kann jeder seine digitale Verteidigung verbessern. Sich mit Wissen auszustatten und robuste Sicherheitspraktiken anzuwenden ist der Schlüssel, um diesen ausgeklügelten Bedrohungen immer einen Schritt voraus zu sein.

Die Ursprünge und die Entwicklung der Phobos-Ransomware

Die Entstehung von Phobos

Seit Mai 2018 hat die Ransomware Phobos weltweit Opfer angehäuft. Sie trat bereits vor einigen Jahren als ernsthafte Bedrohung auf und zielt historisch gesehen vor allem auf kleine und mittlere Unternehmen ab, indem sie anfällige Remote-Desktop-Protokolle (RDP) nutzt. Cyberkriminelle nutzen diese Sicherheitslücken aus, um Systeme zu infiltrieren, bevor sie Dateien verschlüsseln und ein Lösegeld fordern. Als Variante der früher verbreiteten Dharma-Ransomware wird Phobos unter einem RaaS-Betrieb eingesetzt, wobei Versionen der Malware an verschiedene Teams lizenziert werden, um Opfer zu erpressen und den RaaS-Betreibern einen Anteil an den Gewinnen anzubieten.

Merkmale und Funktionsweise

Phobos zeichnet sich dadurch aus, dass er nicht nur lokale, sondern auch im Netzwerk freigegebene Dateien verschlüsseln kann. Darüber hinaus deaktiviert diese Ransomware Firewalls und löscht Volumensicherungskopien, um die Wiederherstellung von Daten ohne Zahlung eines Lösegelds zu erschweren. Sie sorgt für Persistenz im infizierten System, indem sie sich in bestimmten Verzeichnissen dupliziert und sich mit bestimmten Schlüsseln in der Windows-Registrierung registriert. Varianten von Phobos werden auch häufig in anderer Ransomware wie 8base verwendet, und neue Varianten oder mutmaßliche Varianten tauchen sporadisch auf. Es ist in der Tat legitim anzunehmen, dass dies auch bei Space Bears und Lexus der Fall ist. Laut einer Untersuchung von TrendMicro für das erste Quartal 2024, die im Mai 2024 veröffentlicht wurde, wurde die Ransomware 8Base „dabei beobachtet, wie sie die Version 2.9.1 der Phobos-Ransomware verwendete. Diese Version verwendet SmokeLoader zur anfänglichen Verschleierung des Eingangs, des Auspackens und des Ladens der Nutzlast“.

Familles de ransomware en nombre de machines par mois pour le premier trimestre 2024
Ransomware-Familien nach Anzahl der Rechner pro Monat im ersten Quartal 2024, bezogen auf die Dateierkennung Quelle: Trend Micro.

Anatomie von Lexus Ransomware

Identifizierung und Bedeutung der Erweiterungen

Die Lexus Ransomware stellt eine ernsthafte Bedrohung für die Sicherheit von persönlichen und geschäftlichen Daten dar. Die vor kurzem entdeckte Malware zielt darauf ab, Ihre Dateien zu verschlüsseln und ein Lösegeld für die Entsperrung der Dateien zu verlangen. Lexus gehört zur Ransomware-Familie Phobos, die für ihre Fähigkeit bekannt ist, Firewalls zu deaktivieren und Schattenkopien zu löschen(Shadow Copy ). Wenn Lexus Dateien umbenennt, fügt er eine spezielle Erweiterung hinzu, die die Kennung des Opfers, eine E-Mail-Adresse () und die Erweiterung .Lexus enthält. Mit dieser Methode können die Betreiber die Opfer leicht zurückverfolgen und die Lösegeldforderungen zentralisieren.

Lexus capture ecran fichiers chiffrés
Screenshot der mit Lexus verschlüsselten Dateien – Quelle PCrisk.

Die Lösegeldnachricht

Die von Lexus hinterlassene Nachricht informiert die Opfer darüber, dass ihre Daten sowohl verschlüsselt als auch heruntergeladen wurden. Die Nachricht verspricht außerdem, dass die Daten nach der Zahlung gelöscht werden. Wenn jedoch innerhalb von zwei Tagen keine Antwort eingeht, werden die Daten an interessierte Parteien verkauft.

Tipps im Falle einer Infektion

Es wird dringend davon abgeraten, das Lösegeld zu zahlen. Es kann sein, dass die Hacker die versprochenen Entschlüsselungswerkzeuge niemals zur Verfügung stellen. Um sich vor finanziellen und Datenverlusten zu schützen, sollten Sie Sicherungskopien wichtiger Dateien auf einem entfernten Server oder auf einem nicht verbundenen Speichergerät vorhalten. Wenn Ihre Dateien unzugänglich geworden sind, können Sie sie oftmals an Unternehmen wie SOS Ransomware weitergeben, die auf die Wiederherstellung verschlüsselter Daten spezialisiert sind.

Die doppelte Erpressungsstrategie von Space Bears

Ein neueres Auftreten

Space Bears ist ein neuer Name in der Welt der Ransomware. Im April 2024 identifizierte dasS-RM Cyber Threat Intelligence Team einen neuen Betreiber, der mit der Phobos Ransomware as a Service (RaaS)-Gruppe verbunden war und eine neue Leak-Site mit dem Namen „Space Bears“ nutzte, um ein Opfer im Austausch für eine Lösegeldzahlung zu erpressen. Das Auftauchen dieser Seite folgt auf andere Beobachtungen von Betreibern, die die Leaking-Website 8Base als Ort für die Veröffentlichung von Opferdaten nutzen.

Die Space Bears machten 2024 mit einer Reihe von Angriffen auf sich aufmerksam und betrafen in ihrer ersten Welle mindestens sieben Opfer. Es gibt nur wenige Informationen über diese Organisation, aber ihr Ansatz scheint bereits effektiv und einschüchternd zu sein.Die Gruppe Space Bears hat durch ihre Datenleck-Website mit Unternehmensthemen und ihre strategischen Allianzen schnell an Bekanntheit gewonnen. Ihre strategische Ausrichtung mit Phobos demonstriert ihre Fähigkeit und Reichweite und lässt auf einen hohen Organisationsgrad und potenziell große finanzielle Unterstützung schließen, was auf ein gut koordiniertes internationales Netzwerk von Cyberkriminellen hindeutet.

Space Bears annonce d'attaques par DarkWe Informer sur X - Capture d'écran
Screenshot Dark Web Informer über X – Quelle @DarkWebInformer

Doppelte Erpressung: Erhöhter Druck auf die Opfer

Die wichtigste Technik, die Space Bears anwenden, ist die doppelte Erpressung. Sie verschlüsseln nicht nur die Daten, sondern drohen auch damit, diese zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird. Space Bears verwenden auch eine „Schandmauer“, um die Opfer öffentlich zu demütigen, wodurch sie zusätzlichen Druck und ein Risiko für den Ruf aufbauen und so die Chancen auf eine Zahlung erhöhen.

Capture d'écran du mur de la honte de Space Bears
Schandmauer der Space Bears – Quelle: RansomLook.

Widerstehen Sie der Versuchung zu verhandeln

Wie bei Lexus ist es ratsam, Lösegeldforderungen nicht nachzugeben. Dies kann zu weiteren Angriffen ermutigen. Es ist von größter Bedeutung, seine Verteidigung gegen Cyberbedrohungen zu stärken, anstatt diese Cyberkriminellen zu finanzieren.

Häufige Verteilungsmechanismen

Schwachstelle im Remote Desktop Protocol (RDP).

RDP bleibt ein beliebtes Ziel für Ransomware-Vertreiber wie Lexus und Space Bears und ist eine der Besonderheiten der Ransomware, die von Phobos stammt. Cyberkriminelle suchen aktiv nach Schwachstellen in diesen Diensten, um in Netzwerke einzudringen und ihre Angriffe zu entfalten.

Bösartige E-Mails

Ein weiterer klassischer, aber immer noch wirksamer Vektor ist die Verwendung vonE-Mails mit bösartigen Links oder Anhängen. Die Aufklärung der Mitarbeiter über die Risiken, die mit verdächtigen E-Mails verbunden sind, bleibt entscheidend für die Verhinderung von Infektionen. Phishing bleibt eine ständige Bedrohung und die Nachrichten werden immer raffinierter, was ihre Erkennung noch schwieriger macht, also Vorsicht!

Prävention und Schutzmaßnahmen

Die ständige Gefahr des Datendiebstahls durch Ransomware erfordert, dass Organisationen die Sicherung sensibler Daten priorisieren, um die geschäftlichen Auswirkungen nach einem Vorfall mit Datenverlust zu begrenzen. Wir empfehlen die Umsetzung der folgenden Maßnahmen, um sich vor den Auswirkungen von Datendiebstahl zu schützen:

  • Halten Sie regelmäßige Datensicherungen aufrecht, halten Sie Sicherungskopien Ihrer wichtigsten Dateien offline oder auf entfernten Servern. So können Sie die Daten wiederherstellen, ohne ein Lösegeld zahlen zu müssen.
  • Verschlüsseln Sie sensible Daten bei der Übertragung und im Ruhezustand, um unberechtigten Zugriff zu verhindern, falls sensible Daten von Dritten abgefangen werden.
  • Erhöhen Sie die RDP-Sicherheit, stellen Sie sicher, dass Ihr RDP-Zugang durch strenge Richtlinien gesichert ist, einschließlich der Verwendung starker Passwörter und derMulti-Faktor-Authentifizierung. Es ist wichtig, regelmäßig RDP-Ports zu scannen und zu überwachen, die möglicherweise versehentlich oder aufgrund von Fehlkonfigurationen geöffnet wurden.
  • FührenSie robuste Richtlinien zur Data Governance ein. Häufig sind sich Unternehmen nicht bewusst, wie viele veraltete Daten noch in ihren Systemen vorhanden sind, alte Akten von (ehemaligen) Mitarbeitern oder Kunden zum Beispiel. Das regelmäßige Löschen dieser nicht mehr benötigten Daten und die Einführung einer Richtlinie zur Datenaufbewahrung verringern bereits einen Teil der Auswirkungen eines Datendiebstahls.
  • Installieren Sie auf allen Systemenein EDR (Endpoint Detection and Response). Dadurch werden verdächtige oder bösartige Aktivitäten schnell erkannt und es kann schnell darauf reagiert werden.
  • Weiterbildung und Sensibilisierung: Investitionen in die Schulung von Mitarbeitern über digitale Bedrohungen und bewährte Sicherheitsverfahren können das Infektionsrisiko deutlich senken.

Zusammenfassend lässt sich sagen, dass Lexus und Space Bears sowie alle Ransomware der Phobos-Familie zwar ernsthafte Bedrohungen im Bereich der Ransomware darstellen, proaktive Maßnahmen jedoch helfen können, das Risiko zu minimieren. Das Verständnis der Angriffspfade und die Stärkung der Abwehr sind nach wie vor die besten Strategien, um sich gegen diese neuen Formen der Internetkriminalität zu schützen.

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2025 SOS RANSOMWARE & RECOVEO TECHNOLOGY GROUP | Made by Tell It