HDDCryptor: doppelte Bedrohung

Originalbeitrag von Stephen Hilt und Fernando Mercês

Nach der Entdeckung von HDDCryptor im September konnten die Sicherheitsforscher von Trend Micro kürzlich eine neue Version beobachten. Die Experten gehen davon aus, dass diese in der jüngsten Attacke auf die San Francisco Municipal Transport Agency (SFMTA) eingesetzt wurde – und auch massenhaft Daten exfiltriert hat.

Dabei legte die Ransomware Tools ab, um eine vollständige Verschlüsselung sowohl des Disks als auch der montierten SMB-Laufwerke durchzuführen. Die Cyberkriminellen scheinen keine Exploit Kits und automatische Installer zu verwenden, um die Opfer sofort zu kompromittieren und zu infizieren. Stattdessen versuchen sie zuerst, sich Zugang zur Maschine zu verschaffen, wahrscheinlich über einen gezielteren Angriff oder Exploit, bevor sie manuell die Ausführung der Schadsoftware anstoßen. Es gibt zwar keine genauen Informationen darüber, wie dies im Fall der 2.000 Maschinen des SFMTAs gelang, doch wurde wahrscheinlich ein Job aufgesetzt, der auf allen Geräten lief und Admin-Zugangsinfos nutzte.

Nach der Kontaktaufnahmen antworteten die Hintermänner des neuen HDDCryptor mit einer ähnlichen Nachricht wie die in einem CSO Online-Artikel beschrieben.


Bild 1. Die Mail-Antwort der Angreifer umfasst Anweisungen zur Beschaffung von Bitcoin

In früheren Versionen führte HDDCryptor all diese Aktionen mithilfe eines hinzugefügten Nutzerkontos durch (im September war dies “mythbusters”). Einzelheiten zur Weiterentwicklung enthält der Originalbeitrag.

Sowohl v2 als auch v3 umfassen Verbesserungen wie grundlegende Fähigkeiten für Anti-Sandbox und Anti-Debugging, String Encoding sowie einfache Verschlüsselung von Ressourcen. Dies zeigt, dass die Hintermänner des HDDCryptor die Ransomware-Familie schnell weiterentwickeln, um AV- und andere Erkennungstechniken zu vermeiden. Die Sicherheitsforscher konnten HDDCryptor-Executables keinen Phishing-Kampagnen oder anderen Arten von Angriffen zuordnen. Die Angreifer scheinen vorher schon Zugriff auf die Systeme zu haben und den HDDCryptor per Hand auszuführen. Es wird davon ausgegangen, dass dies über RDP geschieht, neben der Hilfe der Exploiting Tools. Es ist eine Tatsache, dass der Zugriff auf kompromittierte Server im Untergrund einfach zu kaufen ist.

Wie es mit HDDCryptor weitergeht

Gerüchten zufolge wurden bei dem SFMTA-Angriff 30 GB Daten exfiltriert und könnten im Deep Web verkauft werden. Diese Gerüchte lassen sich zwar nicht bestätigen, doch handelt es sich dabei um eine Entwicklung der Ransomware, die Trend Micro bereits früher vorhergesehen hatte. Typischerweise werden für das Lösegeld dem Besitzer die Originaldateien zurückgegeben. Bei großen Datenmengen ist es schwierig, die verschlüsselten Daten nach wertvollen Informationen zu durchforsten, die dann verkauft werden könnten. Dennoch ist es eine logische Weiterentwicklung der Ransomware, gleichzeitig Daten zu verschlüsseln und Kopien für den Angreifer zu exfiltrieren. Zahlt das Opfer die normalen 2 BTC Lösegeld und zeigt damit, dass ihm die Daten wichtig sind, so prüft der Angreifer manuell, welche das sind. Findet er nichts, so nimmt er das Geld, entschlüsselt die Dateien und löscht die exfiltrierten Dokumente. Geht es jedoch um eine Organisation wie SFMTA, so wird das Lösegeld sofort angehoben, und der Angreifer droht als zusätzliche Erpressung mit der Veröffentlichung der Dateien. Diese Art der Angriffe werden wohl in den nächsten 12 Monaten zunehmen.

Die Indicators of Compromise (IoCs)/zugehörige Hashes für RANSOM_HDDCryptor gibt es im Anhang.

Trend Micro kann vor Ransomware schützen

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltensmonitoring oder Echtzeit-Webreputationsdienste, um gegen Ransomware zu erkennen und zu blocken.

Privatanwender schließlich können sich über Trend Micro Security 10 schützen.

Nutzer können auch die kostenlosen Tools wie Trend Micro Lock Screen Ransomware Tool nutzen, das Screen Locker Ransomware erkennt und entfernt. Das Trend Micro Crypto-Ransomware File Decryptor Tool wiederum kann bestimmte Varianten von Crypto-Ransomware entschlüsseln.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*