Ransomware
Ransomware-Report: Techniken und betroffene Branchen
In den letzten Monaten sind immer wieder neue Ransomware-Familien aufgetaucht und Techniken und auch Ziele haben sich verändert. Trend Micro hat die Entwicklungen untersucht.
Originalbeitrag von Monte De Jesus, Mohammed Malubay und Alyssa Christelle Ramos
In den letzten Monaten sind immer wieder neue Ransomware-Familien aufgetaucht und Techniken und auch Ziele haben sich verändert. Trend Micro hat eine dieser neuen Familien, Avaddon, untersucht. Des Weiteren nahmen die Sicherheitsforscher Techniken, die einige der Ransomware-Variante einsetzen, unter die Lupe sowie die von den Angriffen betroffenen Branchen.
Avaddon Ransomware
Die neue Ransomware Avaddon (Ransom.Win32.AVADDON.YJAF-A) wird durch einen Trojaner (Trojan.JS.AVADDON.YJAF-A) von bösartigen Sites heruntergeladen und auf dem System ausgeführt. Sie wird über Emails mit einem Anhang verbreitet, wobei die meisten einen Foto-bezogenen Betreff haben. Die Infektion erfolgt nach den bekannten Mustern.
Es werden Dateien in den folgenden Ordnern verschlüsselt:
- Program Files\Microsoft\Exchange Server
- Program Files (x86)\Microsoft\Exchange Server
- Program Files\Microsoft SQL Server
- Program Files (x86)\Microsoft SQL Server
Zudem fügt sie Prozesse hinzu, die Backups löschen, sodass es schwierig wird, das System wiederherzustellen:
- wmic.exe SHADOWCOPY /nointeractive
- wbadmin DELETE SYSTEMSTATEBACKUP
- wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
- bcdedit.exe /set {default} recoveryenabled No
- bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
- vssadmin.exe Delete Shadows /All /Quiet
Auch werden Prozesse und Services beendet, die zum Großteil dem Scanning, Speichern oder Extraktion von Dateien dienen. Technische Einzelheiten zum Ablauf beinhaltet der Originalbeitrag.
Neue Techniken
In den letzten Monaten gab es auch Aktualisierungen der von einigen Ransomware-Varianten verwendeten Techniken. So etwa wird die Netwalker Ransomware nun dateilos über reflective Dynamic-Link Library (DLL) Injection (reflective DLL loading) ausgeführt. Bei dieser Technik wird die DLL aus dem Speicher und nicht von der Festplatte injiziert. Obwohl die Technik selbst nicht neu ist (sie wurde bereits früher zur Bereitstellung von ColdLock-Ransomware eingesetzt), ist ihre Verwendung durch Netwalker neu.
Eine weitere erwähnenswerte Entwicklung ist der Einsatz von virtuellen Maschinen bei Ragnar Locker, um der Erkennung durch Antiviren-Software zu entgehen. Laut Sophos wurde dieser Angriffsvektor noch nie zuvor mit einem Ransomware-Typus verwendet. Früher nutzte Ragnar Locker Managed Service Provider aus oder griff RDP-Verbindungen (Windows Remote Desktop Protocol) an.
Fertigung, Logistik und Energiesektor als Ziele
Ransomware-Varianten wählten als Ziel mehrere Firmen aus dem Bereich der Fertigung, Logistik und Energieversorgung. Eine Variante der Ekans Ransomware (Ransom.Win32.EKANS.D) wurde bei gezielten Angriffen gegen Fertigungsunternehmen eingesetzt. Wie von der Firma Dragos beobachtet, ist bei den industriellen Prozessen, die frühere Ekans-Angriffen beendeten, ein besonderes Maß an Vorsätzlichkeit zu erkennen, was sie zu einer Bedrohung macht, die Organisationen mit industriellen Kontrollsystemen (ICS) auf dem Radar haben sollten.
Nefilim, eine Ransomware, die dem jüngsten Trend folgt, nicht nur Dateien zu verschlüsseln, sondern auch Daten zu stehlen, startete Angriffe auf Logistikunternehmen. Die Untersuchungen dieser Angriffe ergaben, dass der Datendiebstahl bereits Wochen oder sogar Monate vor dem Einsatz der Ransomware beginnt und dass bei den Angriffen mehrere (bösartige und nicht bösartige) Tools eingesetzt werden, um Prozesse aufzusetzen und sich durch das Netzwerk zu bewegen.
In ähnlicher Weise veröffentlichten die Betreiber hinter Sodinokibi auf einer Tor-Webseite 1.280 Dateien, angeblich mit Reisepassdaten und anderen Dokumenten von Mitarbeitern eines Elektrodienstleisters. Wenige Wochen zuvor hatte der Ransomware-Angriff das Unternehmen getroffen und den Betrieb unterbrochen.
ColdLock wiederum konzentrierte die Angriffe eher auf eine Region als auf eine Branche, und zwar war die Ransomware vor allem in Taiwan aktiv.
Ransomware-Zahlen für Mai
Im Mai wurde WannaCry mit 15.496 Erkennungen zur führenden Ransomware-Familie. Die Tatsache, dass WannaCry „den ersten Platz verteidigen konnte“, ist auf seine Wurmkomponente und die Beharrlichkeit seiner Betreiber zurückzuführen, die versuchen, die Malware regelmäßig zu verbreiten. Daher ist davon auszugehen, dass WannaCry weiterhin eine so hohe Anzahl von Erkennungen aufweisen wird, bis entweder eine neue, massive Ransomware auftaucht oder die Quellen für WannaCry gefunden und entfernt werden. Die nächsten Plätze belegen Locky mit 1.532 und Cerber mit 392 Erkennungen. Diese drei vorderen Plätze sind seit Januar fest belegt, und waren auch im letzten Jahr Top.
Gleichzeitig waren die am meisten betroffenen Branchen Behörden (1.870), die Fertigung (1.599) sowie das Gesundheitswesen (1.217).
Die meisten Angriffe erlitten Unternehmen mit mehr als 18.000 Erkennungen. Angriffe auf Verbraucher gab es mehr als 4.000, und 1.000 Erkennungen wurden bei mittleren und kleinen Unternehmen gezählt.
Im Mai wurden vier neue Ransomware-Familien entdeckt. Eine davon ist BlueCheeser (Ransom.MSIL.BLUECHEESER.A), eine Schadsoftware, die verschlüsselten Dateien die Endung .himr anhängt und 400$ Lösegeld verlangt.
Eine weitere ist CoronaLock (Ransom.Win32.CORONALOCK.A), auch als CovidWorldCry bekannt. Sie wird über Coronavirus-bezogenen Spam verbreitet und gibt verschlüsselten Dateien die Endung .corona.lock. Die dritte, PonyFinal (Ransom.Java.PONYFINAL.A), ist eine Java-basierte Malware, die Microsoft-Systeme angreift. GonnaCry (Ransom.Linux.GONNACRY.A) schließlich zielt auf Linux-Systeme. Die Zahl der gefundenen Familien ist im Vergleich zum April zurückgegangen.
Starke Verteidigung gegen Ransomware
Betriebsunterbrechungen, Datenverlust und die Veröffentlichung vertraulicher Unternehmensdaten sind einige der Gefahren, die ein Unternehmen durch einen Ransomware-Angriff betreffen können. Es gibt jedoch nach wie vor Wege, sich vor diesen Angriffen zu schützen.
Es folgen einige Best Practices, mit deren Hilfe Anwender ihre Systeme vor Ransomware schützen können:
- Backup der Dateien nach der 3-2-1 -Regel. Dies bedeutet, regelmäßige drei Backups in zwei unterschiedlichen Formaten zu erstellen, wobei eine Kopie Off-Site vorgehalten wird.
- Regelmäßiges Patchen und Aktualisieren von Anwendungen und Software. Dadurch wird sichergestellt, dass Schwachstellen behoben werden. Bei Zero-Day-Schwachstellen virtuelles Patching einsetzen.
- Sandbox Analyse nutzen. Dadurch können bösartige Dateien in einer isolierten Umgebung ausgeführt werden, sodass diese Dateien überwacht werden, ohne das System zu gefährden.
- Aktivieren von fortschrittlichen Erkennungsfunktionen wie maschinelles Lernen oder Technologien für die Verhaltensüberwachung.
Auch helfen mehrschichtige Sicherheitslösungen wie etwa Trend Micro™; XDR for Users. Damit können die Bedrohungen früh erkannt werden, bevor sie Endpunkte und andere Schichten des Systems kompromittieren. Trend Micro Apex One™; unterstützt umsetzbare Einsichten und zentrale Transparenz im gesamten Netzwerk. Trend Micro Deep Discovery™; Email Inspector schließlich kann bösartige Email-Anhänge blockieren und analysieren.