Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Varonis-Bericht zu Malware-Trends im März 2021 | Varonis

Geschrieben von Michael Buckbee | Apr 1, 2021 4:00:00 AM

Dieser Bericht bietet einen monatlichen Überblick vom Forensik-Team von Varonis und dokumentiert die Aktivitäten, die wir beobachtet haben, während wir auf Ereignisse reagiert, forensische Untersuchungen durchgeführt und Malware-Proben durch Reverse Engineering nachkonstruiert haben. Dieser Bericht dient dazu, Ihnen zu helfen, die sich stets weiterentwickelnden Bedrohungsszenarien besser zu verstehen und Ihre Abwehrmaßnahmen entsprechend anzupassen.

Erfolgsgeschichte des Monats

Ein großes französisches Transportunternehmen, Kunde von Varonis, wurde auf mehreren Geräten von Malware infiziert.

Sie wandten sich an das Forensik-Team von Varonis, um die infizierten Geräte zu untersuchen, die infizierten Dateien zu finden und gemeinsam eine Zeitachse sowie einen Bericht über die böswilligen Aktivitäten zu erstellen.

Das Forensik-Team hat das Ereignisprotokoll und die Masterdateitabelle (MFT) von den infizierten Geräten exportiert und mehrere verdächtige Dateien gefunden.

Einige der verdächtigen Dateien enthielten bösartige Funktionen, die zu den Befunden in der Umgebung des Kunden passten:

  • Die Probe, die wir gefunden haben, war eine Variante von Dridex. Diese Malware verwendet ausführbare Dateien, die nicht böswillig wirken.
  • Es wurden zwei schädliche Dateien benutzt – eine DLL, die die bösartige Nutzlast enthält, und eine ausführbare Datei, die zur Aktivierung der Funktionalität in der DLL verwendet wurde.
  • Um ihre Persistenz aufrechtzuerhalten, verwendet die Malware eine geplante Aufgabe, einen Registrierungswert und eine Verknüpfung im Windows-Startordner.

Unser Team half dem Kunden dabei:

  • Bereitstellung von Anzeichen der Kompromittierung (Indicators of Compromise, IOCs) der schädlichen Dateien, die in den Sicherheitslösungen des Unternehmens implementiert werden sollen.
  • Reverse-Engineering einer Malware-Probe und Erstellen eines vollständigen und umfassenden Malware-Berichts, einschließlich Erläuterungen zu allen Fähigkeiten und Funktionen der Malware.
  • Verwendung der Web-Benutzeroberfläche von Varonis zur Untersuchung von Varonis-Alarmen zusammen mit dem Kunden, um sicherzustellen, dass nichts übersehen wurde.
  • Korreliert die bekannten Teile des Angriffs mit den Ereignissen in Varonis.

Bekämpfen der Egregor-Ransomware mit Varonis

Im Februar wurde bekannt, dass mehrere mutmaßliche Betreiber von Egregor-Ransomware-Varianten verhaftet wurden. Dabei handelte es sich um eine gemeinsame Operation der Strafverfolgungsbehörden der Ukraine und Frankreichs. Es wurde berichtet, dass Lösegeldzahlungen zurückverfolgt werden konnten und zu den verhafteten Verdächtigen führten.[i]

Dennoch ist Egregor weiterhin aktiv und wird als Payload für Kampagnen auf der ganzen Welt genutzt, wie wir in den letzten Monaten gesehen haben. So wurde beispielsweise ein britisches Immobilienbüro mit einer Variante von Egregor angegriffen. Später wurden dann persönliche Kundendaten, beispielsweise Kreditkartendaten, im Dark Web entdeckt. Ein weiteres Beispiel bot ein amerikanisches Logistikunternehmen. Dieses erhielt Drohungen, dass sensible Daten aus dem Unternehmen offengelegt würden, von einer Hackergruppe, die vermutlich Verbindungen zu Egregor hatte.[ii]

Was ist die Egregor-Ransomware?

Egregor ist eine Ransomware-Bedrohungsgruppe, die in den letzten Monaten stark an Dynamik gewonnen hat. Obwohl sie noch relativ neu ist, hat sie sich innerhalb kürzester Zeit eine beträchtliche Reputation erarbeitet, indem zwei verschiedene Erpressungsmethoden angewendet wurden.[iii] Egregor ist ein Ausdruck aus der westlichen Magie, der die kollektive Energie einer Gruppe von Menschen bezeichnet, die ein gemeinsames Ziel haben.[iv]

Es wird vermutet, dass die Egregor-Ransomware der Nachfolger der Maze-Ransomware ist – der berüchtigten Cybercrime-Gruppe, die im Oktober 2020 ihren Betrieb eingestellt hat. Deren Angriffsversuche waren von vielen verschiedenen Einflüssen inspiriert. Und diese bilden vermutlich auch die Grundlage für die Ambitionen von Egregor. Die Egregor-Ransomware ist eine Modifikation der Sekhmet-Ransomware und der Maze-Ransomware. Zwischen allen drei Malware-Varianten gibt es Ähnlichkeiten im Code, und sie scheinen alle auf ähnliche Unternehmen abzuzielen.

Egregor arbeitet mit einem Modell, das als „Ransomware as a Service“ (RaaS) bezeichnet wird. Dabei können kriminelle Partner der Ransomware-Entwickler bestimmte Varianten der Malware verwenden, die speziell für sie oder speziell für einen Angriff auf ein bestimmtes Unternehmen entwickelt wurden. Im Gegenzug teilen sie die Gewinne aus dem Angriff mit den Entwicklern.

Wie bereits erwähnt, nutzt die Ransomware zwei verschiedene Möglichkeiten, um die Opfer zu erpressen. Die Egregor-Gruppe dringt in das Netzwerk der Organisation ein und verschlüsselt die Daten, die sie vorfindet, sodass das Opfer nicht darauf zugreifen kann. Außerdem exfiltrieren die Angreifer Daten, die sich auf den kompromittierten Geräten und Servern befinden, und drohen damit, diese Daten zu veröffentlichen. Eine Teilmenge der exfiltrierten Daten wird in der Regel auf ihrer Website (die im Dark-Web gehostet wird) veröffentlich – als Beweis, dass sie die Daten wirklich haben.

Dem Opfer wird ein Ultimatum gestellt, innerhalb einer bestimmten Frist zu zahlen, andernfalls wird das Lösegeld erhöht.

Wichtige Angriffe

Einer der ersten erfolgreichen Angriffe von Egregor richtete sich im Oktober 2020 gegen Barnes & Noble, eine bekannte Buchhandelskette. Bei diesem Angriff verursachten die Angreifer eine vorübergehende Unterbrechung der Dienste des Unternehmens und behaupteten, Finanzdaten des Unternehmens erbeutet zu haben, was von den Opfern jedoch abgestritten wurde.

Andere groß angelegte Angriffe in diesem Monat hatten die zwei Spieleentwickler Crytek und Ubisoft zum Ziel. Die Angreifer stellten angebliche Teile des Quellcodes von Spielen auf ihre Website und drohten, unveröffentlichte Spiele zu veröffentlichen.

Im Dezember 2020 fiel zudem die niederländische Personalberatung Randstad Egregor zum Opfer. Der Angreifer veröffentlichte angeblich 1 % der gestohlenen Daten, die aus Finanzdokumenten, hauptsächlich Excel-Tabellen und PDF-Dateien, bestanden.

Übermittlung und Ausführung

Eine der Übermittlungsmethoden für Egregor ist Cobalt Strike. Die Zielunternehmen werden zunächst auf verschiedene Weise kompromittiert (Brute-Force-Angriffe per RDP, Phishing), und sobald die Nutzlast des Cobalt-Strike-Beacons ausgeführt wurde, wird sie zur Übermittlung und zum Starten der Egregor-Nutzlast verwendet.[v]

Wenn Egregor z. B. durch Phishing-E-Mails übermittelt wird, besteht der Angriff in der Regel aus zwei Phasen. Zunächst wird eine zugeschnittene Phishing-E-Mail vom Opfer geöffnet und lädt eine Malware für die erste Phase, beispielsweise Qakbot, gefolgt von der eigentlichen Egregor-Ransomware. Die Egregor-Nutzlast wird in der Regel von den Angreifern selbst bereitgestellt, nachdem sie die anfängliche Kompromittierung ausgenutzt haben.

Mit Cobalt Strike kann der Angriff zu einer interaktiven Operation für die Angreifer werden. Sie verwenden hierbei Tools zum Scannen der AD-Umgebung, um sich lateral zu bewegen, ihre Berechtigungen zu eskalieren und schließlich die Kontrolle über ein Domänenadministratorkonto zu übernehmen.[vi]

Die Malware unter dem Mikroskop

Das Forensik-Team von Varonis hat auf Anfrage eines Kunden eine Probe von Egregor analysiert. In diesem speziellen Fall wurde die Malware durch ein PowerShell-Skript übermittelt, das die bösartige DLL herunterlud, sie im Verzeichnis „Bilder“ im öffentlichen Ordner des Benutzers speicherte und sie ausführte, indem es sie als Parameter an „rundll32.exe“ übergab. Anschließend verwendete sie bestimmte Funktionen in der DLL.

Das PS-Skript sucht nach einer zu McAfee gehörenden ausführbaren Datei, um das Produkt zu deinstallieren. Dadurch wird ein potenziell wichtiges Abwehrwerkzeug deaktiviert, das die Aktivierung der Ransomware verhindern könnte. Die Malware versetzt sich anschließend 60 Sekunden lang in den Schlafzustand.

Das gleiche PS-Skript lädt eine Nutzlast-DLL von einer bösartigen IP-Adresse herunter, speichert sie unter dem Pfad „C:\Users\Public\Pictures“ und aktiviert sie, indem sie sie als Parameter für die ausführbare Datei „rundll32.exe“ übergibt. Anschließend führt sie bestimmte Funktionen innerhalb der Nutzlast-DLL aus, mit dem String „passegregor10“ als Parameter. Das ist im Grunde ein Schlüssel, der als Anti-Forensik-Maßnahme vorgesehen ist – d. h. die Malware kann nicht ausgeführt und daher nicht analysiert werden, wenn nicht genau dieser Schlüssel bekannt ist.

Unter Verwendung mehrerer Verschlüsselungsbibliotheken, einschließlich der Bibliotheken in der Microsoft-DLL „CRYPTSP.DLL“ unter dem Pfad „C:\Windows\System32“, verschlüsselt die Malware Dateien, die sie auf dem Gerät des Opfers findet, und hängt eine pseudozufällige Erweiterung an jede verschlüsselte Datei an. Die Malware erstellt dann eine Lösegeldforderung für jeden Ordner, in dem sie Dateien verschlüsselt hat, mit Anweisungen, wie das Lösegeld zu zahlen ist und wie die Dateien entschlüsselt werden können.

Varonis-Erkennungen

Die Bedrohungserkennungsprodukte von Varonis verfügen über mehrere integrierte Bedrohungsmodelle, die die genannten Malware-Varianten in verschiedenen Phasen ihrer Aktivität identifizieren können:

  • Kryptographische Aktivität erkannt“: Erkennt die Erstellung von Lösegeldforderungen auf einem Dateiserver.
  • Unmittelbares Muster erkannt: Benutzeraktivitäten deuten auf Ransomware hin“: erkennt den Verschlüsselungsprozess von Dateien auf einem Dateiserver, ohne sich auf bekannte Ransomware-Dateinamen oder -Erweiterungen zu verlassen. So wird die Erkennung neuer Varianten von Ransomware/Datenvernichtungsprogrammen ermöglicht.
  • Ungewöhnliches Verhalten: Eine ungewöhnliche Datenmenge wurde auf externe Websites hochgeladen“: erkennt das Hochladen gesammelter Daten auf eine Website, die nicht zur Domain der Organisation gehört, indem die Menge der gesendeten Daten untersucht wird.
  • Potenzieller Phishing-Angriff: Zugriff auf eine riskante Website, deren Domainname ungewöhnliche Zeichen enthält“: erkennt, wenn ein Benutzer auf eine Website zugreift, die möglicherweise Malware enthält, auf Grundlage ungewöhnlicher Zeichen in der URL der Website.
  • Verdächtige E-Mail: Es wurde eine E-Mail mit einem verdächtigen böswilligen Anhang empfangen“: erkennt, wenn ein E-Mail-Anhang bösartigen Code oder einen Link zu einer bösartigen Website enthalten könnte.
  • „Download einer potenziell schädlichen Datei wurde erkannt“: erkennt den Download einer potenziell schädlichen Datei.
  • „Potenzielle Malware-Infektion: Dropper identifiziert“: Erkennt die potenzielle Infektion der Umgebung durch Dropper-Malware, mit der die nächsten Phasen einer Malware heruntergeladen werden können.

Neue Varianten, die im Februar analysiert wurden

Name der Variante Verbreitung Datenzentrierte IOCs
STOP-Ransomware 3 .cadq
Dharma-Ransomware 3 .pauq
Dharma-Ransomware 3 .four
Ranzy-Locker-Ransomware 2 .RANZYLOCKED
Dharma-Ransomware 3 .clman
Snoopdoog-Ransomware 1 .Snoopdoog
Assist-Ransomware 1 .assist
STOP-Djvu-Ransomware 3 .ribd
Aurora-Ransomware 2 .systems32x
„Help You“-Ransomware 1 .IQ_IQ
Perfection-Ransomware 1 .perfection
SARBLOH-Ransomware 1 .sarbloh
Monero-Ransomware 1 .monero
MrJeck-Ransomware 1 .[MrJeck@Cock.Li]
LockfilesKR-Ransomware 1 .lockfilesKR
Periox-Ransomware 1 .periox
VaPo-Ransomware 1 .VaPo
TerrorWare-Ransomware 1 .terror

Die häufigsten Angriffsvektoren im Februar 2021

Quellenverzeichnis

[i] https://blog.malwarebytes.com/ransomware/2021/02/egregor-ransomware-hit-by-arrests/

[ii] https://www.blackfog.com/the-state-of-ransomware-in-2021/

[iii] https://blog.morphisec.com/egregor-ransomware-adopting-new-techniques

[iv] https://www.upguard.com/blog/what-is-egregor-ransomware

[v] https://blog.malwarebytes.com/ransomware/2020/12/threat-profile-egregor-ransomware-is-making-a-name-for-itself/

[vi] https://www.cybereason.com/blog/cybereason-vs-egregor-ransomware