Underground

Überblick

Bei Underground handelt es sich um eine Ransomware, die von der in Russland verorteten Gruppe RomCom eingesetzt wird, die auch unter der Bezeichnung Storm-0978 geführt wird. Die Gruppe ist über einen längeren Zeitraum aktiv und hat zahlreiche Unternehmen aus unterschiedlichen Branchen angegriffen. Charakteristisch für das Vorgehen ist, dass sich die Angreifer zunächst über das Ausnutzen einer Schwachstelle Zugang verschaffen. Die eingesetzte Schadsoftware verschlüsselt die Dateien der Betroffenen, ohne dabei die Dateiendungen zu verändern, was die Erkennung des Befalls erschwert. Um eine Wiederherstellung zu behindern, löscht Underground die Schattenkopien der Datenträger (Volume Shadow Copies) sowie die Windows-Ereignisprotokolle und verwischt damit zugleich Spuren des Angriffs. Die Gruppe verfolgt das Prinzip der doppelten Erpressung (Double Extortion): Neben der Verschlüsselung werden Daten vorab entwendet, um zusätzlich mit deren Veröffentlichung Druck auf die geschädigten Einrichtungen auszuüben.