Home » News » Cybersecurity » Totgeglaubte leben länger: USB-Wurm ist wieder da

Totgeglaubte leben länger: USB-Wurm ist wieder da

Die altbekannte Methode, einen USB-Stick mit Schadsoftware auf Parkplätzen auszulegen, ist zurück. Die neue Version verbreitet sich also wie ehemals über USB-Laufwerke, nutzt jetzt aber eine legitime ausführbare Datei, die sie nach dem Einstecken in einen USB-Port sofort in das Zielnetzwerk einschleust. Der Wurm trat jetzt erstmals im August 2022 in Papua-Neuguinea auf und breitet sich seitdem immer weiter aus.

1 Min. Lesezeit
Foto: ©AdobeStock/suradech_k

Vorsicht mit USB-Sticks, deren Herkunft nicht eindeutig geklärt ist: Der USB-Speicher als Malware-Verbreitungsmittel ist zurück. In verschiedenen Ländern wie Nigeria, Ghana, Simbabwe und der Mongolei tauchte eine neue Version des bekannten Wurms PlugX auf. Dabei nutzt die Malware eine legitime ausführbare Datei, um sich ins Zielnetzwerk zu schleusen und versteckt sich dann in einem gefälschten Verzeichnis namens „RECYLER.BIN“. Dieses Verzeichnis wird von den Angreifern so verschleiert, dass es von Windows mit dem echten Windows-Papierkorb assoziiert wird. Der Wurm kopiert dann Dateien aus dem infizierten Netzwerk auf das USB-Laufwerk.

PlugX ist bereits seit mindestens 2008 bekannt und wird der chinesischen Hacker-Gruppierung MustangPanda zugeordnet, die mit staatlich geförderten Cyberspionage-Aktivitäten in Verbindung gebracht wird. Im letzten Jahr wurde bereits eine Zunahme der Aktivitäten von USB-Malware-Verbreitung bemerkt. Das Comeback dieser Methode ist ein weiteres Beispiel dafür, dass Cyberkriminelle immer wieder neue und alte Tricks kombinieren, um ihre Opfer zu attackieren.

Weltweites Comeback in Sicht?

Gabor Szappanos, Threat Research Director, Sophos, über das Revival des USB-Wurms: „Im November vergangenen Jahres berichteten wir über verschiedene Verdichtungen aktiver feindlicher Aktivitäten gegen Regierungseinrichtungen in Südostasien, die sich ebenfalls dieser Retro-Methode via USB-Laufwerke bedienten. Der Wurm tauchte schließlich einen Monat später Tausende von Kilometern entfernt in Afrika auf. Nun umfasst diese erneute Anhäufung von USB-Wurm-Aktivitäten drei Kontinente. Im Vergleich zu internetbasierten Attacken halten wir Wechselmedien nicht für besonders mobil, aber diese Verbreitungsmethode hat sich in diesen Teilen der Welt als sehr effektiv erwiesen. Es existieren zahlreiche Akteure mit sehr unterschiedlichen Interessen, die sich der Vorteile eines USB-Sticks bedienen, uns scheint hier aber vor allem die Gruppierung MustangPanda der Drahtzieher zu sein. Ein Comeback des USB-Wurms auszurufen ist vielleicht zu früh, aber es ist ganz sicher keine ausgediente Technik von vor zehn oder zwanzig Jahren. Einige bekannte Bedrohungsakteure setzen weiterhin auf die Vorteile von USB, um ihre Schadsoftware zu verbreiten.“

Andere interessante News

Rotes Ausrufezeichen vor dunklen Dateisymbolen

Neuer Threat Report analysiert die Rolle von ERP-Kompromittierung bei Ransomware

Ein aktueller Report belegt wachsendes cyberkriminelles Interesse an ERP-Schwachstellen und deren Ausnutzung für Ransomware-Attacken und Datenschutzverletzungen. Angeblich hat sich Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 Prozent erhöht.

Compliance-Regeln: Businessfrau arbeitet am Tablet

Wie die Blockchain die Compliance von DMS pusht

Wo der Schutz sensibler Informationen höchste Priorität hat, gewinnt die Integration von Blockchain-Technologie in Dokumentenmanagement-Systeme (DMS) an Bedeutung. Diese Entwicklung markiert einen Schritt hin zu sicherer und rechtskonformer Datenverwaltung.

Botnet

Jahrzehntelange rumänische Botnet-Operation aufgedeckt

Sicherheitsforscher haben eine komplexe und langjährige Botnetz-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens RUBYCARP betrieben wird. Diese Operation ist vermutlich bereits seit mindestens zehn Jahren aktiv. Diese Entdeckung beleuchtet eine langanhaltende Kampagne, bei der Botnets durch verschiedene Exploit-Methoden und Brute-Force-Angriffe aufgebaut wurden.