Ransomware
Legitime Tools in Ransomware-Kampagnen
Cyberkriminelle bedienen sich immer häufiger legitimer Tools, die ihre Ransomware-Angriffe erleichtern sollen.
Originalbeitrag von Janus Agcaoili und Earle Earnshaw
Die Betreiber von Ransomware erweitern ihr Arsenal, und für die angegriffenen Unternehmen steht immer mehr auf dem Spiel. Die meisten der jüngeren Ransomware-Kampagnen haben sich bereits Techniken der doppelten Erpressung zu eigen gemacht, bei denen Bedrohungsakteure sowohl die Dateien eines Unternehmens verschlüsseln als auch drohen, deren Daten an die Öffentlichkeit gelangen zu lassen. In unseren Sicherheitsprognosen für 2021 warnten wir davor, dass Ransomware zu einer noch gefährlicheren Bedrohung wird, weil sie gezielter eingesetzt wird und neue Familien (wie Egregor) auftauchen. Cyberkriminelle bedienen sich zudem legitimer Tools, die ihre Ransomware-Angriffe erleichtern sollen. Dazu gehören unter anderen auch Cobalt Strike, PsExec, Mimikatz, Process Hacker, AdFind und MegaSync.
Für sich genommen sind diese Tools nicht bösartig. Vielmehr sollen sie der Sicherheitsforschung dienen oder die Effizienz von Programmen erhöhen. Wie im Fall vieler anderer Technologien haben auch Cyberkriminelle einen Weg gefunden, sie auszunutzen. Schließlich wurden diese Tools zu einem typischen Bestandteil von Ransomware-Kampagnen und zeitweise sogar von anderen Cyberangriffen. Das National Cyber Security Centre (NCSC) in Großbritannien hat in einem Bericht eine Liste solcher Tools veröffentlicht.
Es gibt mehrere Gründe dafür, dass die Verwendung der legitimen Tools eine so attraktive Option für Cyberkriminelle ist. Zum einen sind sie nicht per se bösartig, sodass sie sich der Entdeckung entziehen können. Zum anderen sind die meisten davon Open Source und können daher kostenlos genutzt werden. Und schließlich macht die Zweckmäßigkeit der Funktionalität sie für Cyberkriminelle vorteilhaft.
Häufig missbrauchte legitime Tools
Einige der aufgeführten Tools erfüllen auch für andere Plattformen ähnliche Zwecke. So können z.B. Process Hacker, PC Hunter, GMER und Revo Uninstaller ausgenutzt werden, um Antimalware-Lösungen zu beenden. Ebenso lassen sich sowohl Mimikatz als auch LaZagne für das Dumping von Anmeldeinformationen verwenden.
Einige Kampagnen setzen mehrere Tools gleichzeitig ein, da ein Tool das andere aktivieren kann. Zum Beispiel gewährt Mimikatz, das zum Stehlen von Anmeldedaten dienen kann, Zugriff auf PsExec-Funktionen, die Administratorrechte erfordern. Eine der Kampagnen, die mehrere Tools gleichzeitig einsetzte, ist Nefilim, die unter anderem AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec und MegaSync benutzte.
Wie die einzelnen Tools eingesetzt werden, lesen Sie im Originalbeitrag.
Schutz vor den getarnten Feinden
Damit Sicherheitsteams eine Ransomware-Kampagne sofort stoppen können, müssen sie das Vorhandensein von legitimen Tools in der bösartigen Aktion erkennen. Dies ist jedoch leichter gesagt als getan, da sich die Tools der Erkennung auf verschiedene Weise entziehen können. Zum einen geschieht das über Funktionen, die zur Implementierung von Umgehungstechniken genutzt werden, wie im Fall von Cobalt Strike. Cyberkriminelle können auch den Code dieser Tools verändern, um Teile zu manipulieren, die Antimalware-Lösungen aktivieren.
Darüber hinaus können die Erkennungen, wenn sie von einem einzelnen Einstiegspunkt aus gesichtet werden (z. B. wenn nur der Endpunkt betrachtet wird), für sich genommen harmlos erscheinen, selbst wenn sie eigentlich einen Alarm auslösen sollten. Das würde auch passieren, wenn sie aus einer breiteren Perspektive und mit größerem Kontext in Bezug auf andere Schichten wie E-Mails, Server und Cloud-Workloads betrachtet würden.
Bei der Aufspürung von Ransomware-Kampagnen sind Unternehmen besser geschützt, wenn sie sich nicht nur auf die Erkennung von Dateien und Hashes, sondern auch auf die Überwachung des Verhaltens über verschiedene Ebenen hinweg verlassen würden. Genau das haben wir bei unserer jüngsten Untersuchung der Conti-Ransomware getan, die wir mit Trend Micro Vision One™ nachverfolgt haben.
Lösungen wie Trend Micro Vision One bieten eine erhöhte Sichtbarkeit und korrelierte Erkennungen über verschiedene Ebenen hinweg (Endpunkte, E-Mails, Server und Cloud-Workloads) und können dafür sorgen, dass keine wichtigen Vorfälle unbemerkt bleiben. Dies ermöglicht eine schnellere Reaktion auf Bedrohungen, bevor sie echten Schaden im System anrichten können.
Indicators of Compromise (IOCs) für die verschiedenen Tools liefert der Originalbeitrag.