Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Neue Ransomware-Tools der Gruppe Play

- Warnmeldung

Die Ransomware-Gruppe Play hat zwei neue Tools entwickelt, die die Effektivität ihrer Cyberangriffe erhöhen. Mit den beiden Tools können die Angreifenden Informationen in kompromittierten Netzwerken sammeln und für den weiteren Fortschritt des Angriffs verwenden.
Gelbe und rote Lichter mit Kabeln

© Adobe Stock

Die Ransomware-Gruppe Play hat zwei neue Tools in .NET entwickelt, die sie zur Verbesserung der Effektivität ihrer Cyberangriffe einsetzt. Die beiden Tools heißen Grixba und VSS Copying Tool und ermöglichen Folgendes:

  • Benutzer- und Computernamen in kompromittierten Netzwerken ausspähen
  • Informationen über Sicherheits-, Backup- und Fernverwaltungssoftware sammeln
  • problemlos Dateien aus dem Volume Shadow Copy Service (VSS) kopieren, um gesperrte Dateien zu umgehen

Die zwei neuen Tools

  • Grixba scannt Netzwerke nach Benutzer- und Computernamen, um sie für weitere Zwecke zu nutzen. Es unterstützt auch einen "Scan"-Modus, der WMI, WinRM, Remote Registry und Remote Services verwendet, um festzustellen, welche Software auf Netzwerkgeräten läuft. Grixba prüft beim Scannen auf gängige Office-Anwendungen und DirectX, um den Typ des gescannten Computers zu bestimmen.

    Das Tool speichert alle gesammelten Daten in CSV-Dateien, komprimiert sie in einem ZIP-Archiv und sendet sie an den C2-Server der Angreifer. Damit erhalten sie wichtige Informationen für die Planung der nächsten Angriffsschritte.

  • Mit dem VSS Copying Tool kann der Angreifer mit dem Volume Shadow Copy Service (VSS) interagieren. VSS ist eine Windows-Funktion, mit denen Benutzer System-Snapshots und Sicherungskopien ihrer Daten erstellen können, um sie im Fall eines Datenverlusts oder einer Systembeschädigung wiederherzustellen. Mit dem VSS Copying Tool kann der Angreifer Dateien aus Schattenkopien entwenden, selbst wenn diese Dateien gerade von Anwendungen verwendet werden.
Ausrufezeichen als Warnung auf Handy

© Adobe Stock

Bewertung

Die Verwendung dieser Tools verbessert die Effektivität der Angriffe, erhöht somit die Durchschlagskraft der Angreifenden und stellt damit ein erhöhtes Risiko im Allgemeinen dar.

Da die Akteure u. a. in Deutschland aktiv sind, kann davon ausgegangen werden, dass die beschriebenen Tools auch hier zum Einsatz kommen.

Schutzmaßnahmen

Es gelten die gängigen Ransomware-Handlungsempfehlungen.

Weitere Informationen (engl.)

  • Die Cybersicherheitsagentur Baden-Württemberg (CSBW) ist die neueste Landesoberbehörde im Land. Grundlage für ihre Gründung ist das Cybersicherheitsgesetz. Seit 2021 begegnet das stetig wachsende und breit aufgestellte Team der CSBW den immer größer werdenden Gefahren von Cyberangriffen im digitalen Raum. Sie steht im ständigen Austausch mit allen relevanten Sicherheitsbehörden und Akteuren. Zentrale Aufgabe der CSBW ist es, die Cybersicherheit in Baden-Württemberg zu verbessern. Im Fokus steht dabei vor allem die Landesverwaltung. Die wichtigsten Schlagworte dabei sind: Prävention, Detektion und Reaktion.