UIWIX Ransomware und Monero-Mining Malware folgen WannaCry

Originalbeitrag von Trend Micro

Der WannaCry Ransomware-Angriff vom Wochenende wurde gestoppt, indem ein Sicherheitsforscher dessen „Kill Switch“-Domäne registrierte. Doch war es nur eine Frage der Zeit, bis weitere Cyberkriminelle dem Beispiel folgten. Jetzt geht es um die UIWIX-Ransomware (von Trend Micro als RANSOM_UIWIX.A erkannt) und einen Trojaner.

UIWIX ist nicht WannaCry

Entgegen letzter Meldungen, UIWIX sei eine neue WannaCry-Version, ergab die Analyse der Trend Micro-Sicherheitsforscher, dass es sich bei dieser Ransomware um eine neue Familie handelt, die dieselben Server Message Block (SMB)-Sicherheitslücken (MS17-010), namens EternalBlue, die von Shadow Brokers öffentlich gemacht wurde, ausnützt. Darüber infiziert die Schadsoftware Systeme, verbreitet sich innerhalb von Netzwerken und scannt das Internet, um weitere Opfer zu infizieren.

Wo liegen die Unterschiede? UIWIX scheint dateilos zu sein und wird im Hauptspeicher ausgeführt, nachdem die Malware EternalBlue ausgenutzt hat. Dateilose Infektionen kommen ohne das Schreiben von tatsächlichen Dateien/Komponenten auf die Festplatten des Computers aus. Damit reduziert sich ihr Footprint erheblich und erschwert die Entdeckung.

UIWIX arbeitet auch mehr im Verborgenen und bricht ab, falls die Schadsoftware eine virtuelle Maschine (VM) oder Sandbox entdeckt. Auch scheint die Ransomware Routinen zu beinhalten, die in der Lage sind, Login-Daten zu sammeln, sei es für den Browser des infizierten Systems, File Transfer Protocol (FTP), Mail oder Messenger.

Die Tabelle enthält eine Zusammenfassung der wichtigsten Fähigkeiten von WannaCry und UIWIX:

WannaCry UIWIX
Angriffsvektoren SMB-Sicherheitslücken (MS17-010), TCP-Port 445 SMB-Sicherheitslücken (MS17-010), TCP-Port 445
Dateitypus Executable (EXE) Dynamic Link Library (DLL)
Extension {Original-Dateiname}.WNCRY ._{unique id}.UIWIX
Autostart und Persistenz-mechanismus Registry keine
Anti-VM, VM Check oder Anti-Sandbox Routinen keine Checkt Vorhandensein von VM und Sandbox-bezogenen Dateien/Folders
Netzwerkaktivität Scannt das Internet nach beliebigen IP-Adressen wegen offenem Port 445; Verbindung mit .onion-Site über Tor-Browser Nutzt mini-tor.dll für Verbindung zu .onion-Site
Exceptions (führt nicht aus, wenn bestimmte Systemkomponenten entdeckt werden) keine Beendet sich selbst, wenn sie in Russland, Kasachstan oder Weißrussland läuft
Ausschluss (Verzeichnisse oder Dateitypen, die nicht verschlüsselt werden) Vermeidet Verschlüsselung von Dateien in bestimmten Verzeichnissen Vermeidet Verschlüsselung von Dateien in zwei Verzeichnissen und von Dateien mit bestimmten Strings im Dateinamen
Netzwerk-Scanning und Verbreitung Ja, (Wurm-artige Verbreitung) Nein
Kill Switch Ja Nein
Lösegeld 300 $ in Bitcoins 200 $ in Bitcoins

 


Bild 1. von UIWIX verschlüsselte Test-Dateien (links) und eine Lösegeldforderung (rechts)

UIWIX nutzt unterschiedliche Bitcoin Wallets für jedes Opfer. Sobald es die URLs in der Lösegeld-Meldung anklickt, wird ein „persönlicher Code“ (ist in der Meldung enthalten) des Opfers verlangt, und dann wird es aufgefordert, sich bei einem Bitcoin Wallet anzumelden.

Bild 2: UIWIX- Zahlungs-Site

Weitere Malware

Es ist nicht ungewöhnlich, dass die massiven Auswirkungen von WannyCry die Aufmerksamkeit anderer Cyberkriminellen geweckt haben, die nun dieselbe Angriffsfläche in Systemen und Netzwerken nutzen wollen. Neben  den beiden beschriebenen entdeckten die Sensoren von Trend Micro auch einen Trojaner, der EternalBlue nutzt, Adylkuzz (TROJ_COINMINER.WN). Diese Malware bindet infizierte Systeme in ein Botnet ein und stiehlt Ressourcen für das Mining der Cryptowährung Monero.

Patchen von Systemen und Anwendung von Best Practices

UIWIX wie viele andere Bedrohungen auchist ein Lehrbeispiel für die Bedeutung von Patching. Unternehmen müssen die Effizienz ihres Betrieb gegen dessen Absicherung abwägen. IT-/Systemadministratoren sollten die Grundlagen, die Angriffe auf die Integrität und Sicherheit ihrer Systeme und Netzwerke abwehren können, stärken.

Best Practices gegen UIWIX und WannaCry oder andere sollten eingesetzt werden:

  • Patchen und Updaten der Systeme oder Einsatz von virtual Patching
  • Aktivieren von Firewalls sowie von Intrusion Detection and Prevention Systems
  • Proaktives Monitoring und Validierung des ankommenden und ausgehenden Verkehrs
  • Implementieren von Sicherheitsmechanismen für andere Eintrittspunkte von Angreifern wie Mail oder Websites
  • Einsatz von Application Control, um verdächtige Dateien an der Ausführung zu hindern, zusätzlich zum Verhaltensmonitoring, das unerwünschte Änderungen an den Systemen verhindern kann
  • Einsatz von Datenkategorisierung und Netzwerksegmentierung, um die Gefahr des Schadens für die Daten zu beseitigen.

Trend Micro-lösungen

Trend Micro Smart Protection mit XGen Endpoint Security kombiniert High-Fidelity Machine Learning mit anderen Erkennungstechnologien und globalem Bedrohungswissen für einen umfassenden Schutz gegen Ransomware und fortschrittliche Malware.

Trend Micro Deep Security™ und Vulnerability Protection, Trend Micro Deep Discovery Inspector und TippingPoint schützen gegen diese Bedrohung.

Indicators of Compromise

146581F0B3FBE00026EE3EBE68797B0E57F39D1D8AECC99FDC3290E9CFADC4FC (SHA256) — detected as RANSOM_UIWIX.A
C72BA80934DC955FA3E4B0894A5330714DD72C2CD4F7FF6988560FC04D2E6494 (SHA256) – detected as TROJ_COINMINER.WN

Command and Control (C&C) Domänen in Verbindung mit TROJ_COINMINER.WN:

  • 07[.]super5566[.]com
  • aa1[.]super5566[.]com

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*