Obscura

Überblick

Obscura ist ein in der Programmiersprache Go entwickelter Ransomware-Stamm. Charakteristisch ist die gezielte Ausrichtung auf Windows-Domänencontroller: Die Schadsoftware nutzt die Freigaben SYSVOL und NETLOGON, um sich im Active-Directory-Umfeld zu verbreiten und auf zentrale Systeme der Domäne zuzugreifen. Damit zielt Obscura nicht auf einzelne Endgeräte, sondern auf das Herzstück der Identitäts- und Verzeichnisinfrastruktur eines Unternehmens. Für die Verschlüsselung kombiniert der Schädling den Schlüsselaustausch über Curve25519 mit dem Stromchiffre-Verfahren XChaCha20. Obscura verfolgt einen Ansatz der doppelten Erpressung: Neben der Verschlüsselung der Daten setzen die Täter auf die vorherige Entwendung von Informationen und drohen mit deren Veröffentlichung, um den Druck auf die betroffenen Einrichtungen zu erhöhen. Den Opfern wird eine befristete Zahlungsfrist gesetzt. Durch den Fokus auf Domänencontroller kann eine erfolgreiche Infektion weitreichende Folgen für die gesamte Netzwerkumgebung einer betroffenen Organisation haben.