Diese Kollegin wurde offenbar von der Ransomware Venus erwischt (Symbolbild)
Diese Kollegin wurde offenbar von der Ransomware Venus erwischt (Symbolbild)
Bildquelle: AndreyPopov, Lizenz

Venus: Hacker verschlüsseln Windows-Systeme via RDP

Die Ransomware Venus verschlüsselt zahlreiche Windows-Systeme und dringt dafür über öffentlich zugängliche RDP-Dienste in Netzwerke ein.

Die Ransomware Venus dringt über öffentlich zugängliche Remote-Desktop-Dienste in Netzwerke ein, um dort Dateien auf Windows-Geräten zu verschlüsseln, die daraufhin eine charakteristische Dateiendung erhalten. Die Lösegeldforderung setzt offenbar auf Verhandlung und bietet statt direkter Bezahlung eines fixen Geldbetrags die Kontaktaufnahme zum Schöpfer der Schadsoftware an.

Venus dringt über öffentliche RDP-Zugänge in Netzwerke ein

Eine neue Ransomware mit dem Namen „Venus“ hat es auf öffentlich zugängliche Remote-Desktop-Dienste abgesehen. Die Angreifer verschaffen sich über das Remote-Desktop-Protokoll (RDP) Zugang zu Unternehmensnetzwerken, um anschließend darin enthaltene Windows-Geräte zu verschlüsseln. Der Mobile Security Analyst linuxct machte erstmals via Twitter auf die derzeit recht aktive Schadsoftware aufmerksam.

Und auch wenn Venus nach aktuellen Erkenntnissen erst seit August 2022 im Einsatz zu sein scheint, nutzt sie die gleiche Dateierweiterung für ihre verschlüsselten Dateien wie eine andere Ransomware, die bereits 2021 ihr Unwesen trieb. Ob die beiden schadhaften Anwendungen miteinander in Verbindung stehen, ist laut BleepingComputer jedoch noch unklar.

Von Venus verschlüsselte Dateien erhalten eine charakteristische Dateiendung

Im ersten Schritt versucht Venus auf einem infizierten Windows-Gerät 39 Prozesse zu beenden, die mit Datenbankservern und Microsoft Office in Verbindung stehen. Daraufhin löscht sie Ereignisprotokolle und Schattenkopien des Systems und deaktiviert die Datenausführungsverhinderung. Anschließend beginnt die Ransomware mit der Verschlüsselung.

Bereits verschlüsselte Dateien markiert die bösartige Software mit der Dateinamenserweiterung „.venus„. Eine Datei mit dem ursprünglichen Namen „test.jpg“ wird demnach zu „test.jpg.venus„. Außerdem hängt Venus zusätzliche Informationen an den Dateiinhalt an, deren Zweck derzeit noch unklar ist.

Lösegeldforderung fordert lediglich zur Kontaktaufnahme auf

Im Ordner „%TEMP%“ erstellt die Ransomware schließlich eine Datei, die die „Lösegeldforderung“ enthält. Diese zeigt Venus nach vollständiger Verschlüsselung automatisch an. Das Opfer soll der Meldung zufolge Kontakt mit den Angreifern aufnehmen, um seine verschlüsselten Dateien wieder entschlüsseln zu können. Als Kontaktmöglichkeiten bietet Venus E-Mail, Jabber oder den Tox Messenger an. Die tatsächliche Höhe des Lösegeldes ist demzufolge offenbar Verhandlungssache. Einen pauschalen Geldbetrag nennen die Angreifer nicht. Ganz im Gegensatz zu der kürzlich von der niederländischen Polizei ausgetricksten Ransomware DeadBolt.

Grundsätzlich ist es nicht empfehlenswert, Remote-Desktop-Dienste öffentlich über das Internet zugänglich zu machen. Selbst wenn eine alternative Portnummer für den Dienst verwendet wird, stellt dies für Venus kein Hindernis dar. Derartige Zugänge sollten immer durch eine Firewall geschützt und von außen nur über eine gesicherte VPN-Verbindung erreichbar sein.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.