In einer sich ständig verändernden Online-Umgebung war die Verfolgung und Bekämpfung von Ransomware-Malware schon immer eine Herausforderung. Überall kämpfen Sicherheitsteams gegen diese neuen Bedrohungen, aber die Komplexität und Hartnäckigkeit mancher Malware können diese Bemühungen manchmal nutzlos machen.
Eine neue Variante eines Botnets sorgt für Probleme im Netzwerk
Noch im September, als Phorpiex noch Chaos anrichtete, verbreitete es eine neue Malware-Variante namens Twizt, die es dem Botnet ermöglicht, ohne zentrale Kommando- und Kontrollserver zu arbeiten.
Die neue und verbesserte Version von Twizt Phorpiex verfügt über ein Peer-to-Peer-Befehls- und Kontrollsystem, das es verschiedenen infizierten Geräten ermöglicht, Befehle aneinander zu übertragen, wenn die statischen Befehls- und Kontrollserver ausgefallen sind.
Das bedeutet, dass jeder der infizierten Computer als Server fungieren und Befehle an andere Bots in der Kette senden kann. Es ist auch erwähnenswert, dass die neueste P2P-Infrastruktur es den Betreibern auch ermöglicht, die IP-Adressen der wichtigsten C2-Server nach Bedarf zu ändern, während sie in einem Schwarm infizierter Windows-Computer versteckt bleiben.
Wenn Sie auch neugierig auf einige der neuen Funktionen dieser neuen Twizt-Variante waren, verfügt sie über einen Peer-to-Peer-Betriebsmodus (kein C2) und einen Datenintegritätschecker. Ebenfalls enthalten ist ein konfigurierbares Binärprotokoll (TCP oder UDP) mit zwei RC4-Verschlüsselungsstufen.
Darüber hinaus kann Twizt auch zusätzliche Payloads über eine Liste hartcodierter Basis-URLs und -Pfade laden oder nach Erhalt des entsprechenden Befehls vom C2-Server.
Das Phorpiex-Botnet wird von Microsoft überwacht
Bei derzeit Microsoft führt umfangreiche Untersuchung in Bezug auf diese bösartige Botnet.
Obwohl diese Malware schon seit geraumer Zeit das Internet heimsucht, verrät der Sicherheitsdienst neue Details zur Verbreitung und Funktionsweise.
Laut Microsoft wird das Phorpiex-Botnet verwendet, um Ransomware und Spam zu verbreiten.
Der Fokus des Botnets auf die Verteilung und Installation von Bots hat sich ebenfalls ausgeweitet, da die jüngsten Aktivitäten auf eine Verschiebung hin zu einer globaleren Verteilung hindeuten. Statistiken bestätigen, dass Phorpiex mittlerweile in mehr als 160 Ländern präsent ist.
Einer der Hauptgründe, warum Microsoft Interesse an Phorpiex zeigt, besteht darin, dass der Bot Microsoft Defender Antivirus deaktiviert, um die Persistenz auf Zielgeräten aufrechtzuerhalten.
Dazu gehören das Ändern von Registrierungsschlüsseln zum Deaktivieren von Popups oder Firewall- und Antivirenfunktionen, das Überschreiben von Proxy- und Browsereinstellungen, das Einstellen des Bootloaders und der ausführbaren Dateien für die Ausführung beim Start und das Hinzufügen dieser ausführbaren Dateien zur Liste der autorisierten Anwendungen.
Warum ist Forpex gefährlich?
Es ist bekannt, dass das Phorpiex-Botnet zur Verbreitung von Malware wie der Ransomware GandCrab und Avaddon oder für Sextortion-Betrug verwendet wurde.
Laut Microsoft ist die Avaddon-Ransomware in der Lage, vor dem Start Sprach- und Regionalprüfungen für Russland oder die Ukraine durchzuführen, um sicherzustellen, dass sie nur auf ausgewählte Regionen abzielt.
So wie es aussieht, verlangt Avaddon in der Regel ein Bitcoin-Lösegeld von etwa 700 US-Dollar. Dies ist ein enormer Preis, den Sie allein dafür zahlen müssen, dass Sie Ihren Computer nicht schützen.
Wie kann ich mich vor Phorpiex schützen?
Der erste und wichtigste Tipp ist, keine unsicheren Inhalte oder Anwendungen herunterzuladen, die nicht von einem vertrauenswürdigen Unternehmen entwickelt wurden. Sie können sich auch schützen, indem Sie Personen einschränken, die Zugriff auf Ihren Computer und vertrauliche Informationen haben.
Eine andere Möglichkeit, diese Versuche zu verhindern, besteht darin, den Microsoft Defender Endpoint Tamper Protection zu aktivieren, die erweiterte Cloud-Sicherheitsfunktion von Microsoft.
Diese Option macht automatisch alle Änderungen rückgängig, die der Bot ständig versucht, auf Ihrem Computer vorzunehmen. Welche anderen Schritte unternehmen Sie, um nicht Opfer von Ransomware-Angriffen zu werden? Erzählen Sie uns von Ihren Erfahrungen im Kommentarbereich unten.
Schreibe einen Kommentar