Unternehmen als Goldgrube: Cerber verschlüsselt Datenbankdateien

Originalbeitrag von Mary Yanbao und Francis Antazo, Threat Response Engineers

Die Cerber-Ransomware enthält eine neue Routine, die wahrscheinlich der potenziellen Profitmaximierung ihrer Entwickler dienen soll, weil die Folgen für Unternehmen schwerer wiegen: Es geht um die Verschlüsselung von Datenbankdateien. Werden diese meist unternehmenskritischen Dateien gekapert, so kann das den Betrieb eines Geschäfts maßgeblich behindern.

Cerber hat bereits eine Vielzahl von Versionen durchlaufen und mit der Zeit immer weitere Tricks ins Repertoire aufgenommen, einschließlich der Integration einer DDoS-Komponente, doppelt gezippter Windows Script Files, des Einsatzes einer Cloud-Produktivitätsplattform oder gar der Rolle einer zweiten Payload für einen Trojaner, der Informationen stiehlt. Diese ständigen Updates zeigen auch, wie aktiv die Entwickler der Ransomware sind und wie lukrativ das Geschäft damit ist. So haben Cerbers Entwickler mit 40 % Provision allein im Juli fast 200.000 $ verdient.


Bild 1. Im Vergleich zu anderen Varianten verlangt Cerber 4.1.5 ein geringeres Lösegeld.

Verschlüsselung von Datenbankdateien ist nicht allein Cerbers Trick. Im ersten Halbjahr 2016 gab es Familien wie crypJOKER (RANSOM_CRYPJOKER.A), SURPRISE (RANSOM_SURPRISE.A), PowerWare (RANSOM_POWERWARE.A) und Emper (Ransom_EMPER.A), die datenbankbezogene Extensions ihrer Liste von zu verschlüsselnden Dateien hinzugefügt haben. Zu diesen Dateien gehören dBASE (.dbf), Microsoft Access (.accdb), Ability Database (.mdb) und OpenOffice (.odb).

Cerber 4.1.0, 4.1.4 und 4.1.5 wie auch die anderen Varianten (Ransom_CERBER.CADRansom_CERBER.A) sind so codiert, dass sie Geräten und Systemen, die in bestimmten Sprachen konfiguriert sind, aus dem Weg gehen. Die Malware nutzt das API GetKeyboardLayoutList, um das Sprachset festzustellen und sich selbst zu beenden, wenn es eine der folgenden Sprachen entdeckt: russisch, ukrainisch, weißrussisch, tadschikisch, armenisch u.a. Trend Micros Monitoring zeigte, dass von März bis Mitte November dieses Jahres die meisten Cerber-Angriffe in den USA, Taiwan, Deutschland, Japan, Australien, China, Frankreich, Italien, Kanada und Südkorea entdeckt wurden.


Bild 2. Beispiel einer Spam-Mail mit Cerber im Schlepptau

Infektionsvektoren/Distribution

Der Infektionsweg für eines der neuesten analysierten Samples ist die Spam-Mail, die einen Online-Bezahldienst vortäuscht, der das potenzielle Opfer davon in Kenntnis setzt, dass das Kreditlimit überschritten wurde. Der Empfänger soll sein Konto authentifizieren.

Die Spam-Mail kann ein System auf zwei Arten infizieren: zum Einen über einen bösartigen Link und das nachfolgende Herunterladen der Ransomware und zum Anderen über eine .zip-Datei, die ein bösartiges JavaScript enthält. Andere Spam-Mails kommen als Rechnung, deren Anhang beliebig benannte Word-Dokumente sind, eingebettet in ein bösartiges Makro, dass die Ransomware herunterlädt und ausführt. Auch setzen die Hintermänner Exploit Kits wie Rig, Neutrino und Magnitude für die Verbreitung ein.


Bild 3. Cerbers neueste Version infiziert auch RAM Disks

Verschlüsselung von Datenbankdateien

Neben der Verschlüsselung von Dateien auf festen oder Wechsellaufwerken infiziert Cerber auch Dateien auf Netzwerkfreigaben und interessanterweise auch Dateien auf RAM Disks, also Hauptspeichermodulen, die der Konfiguration von Speichern dienen. Diese Routine gab es bereits ab der Version 4.0, die von der Pseudo-Darkleech Kampagne abgelegt wurde. Cerber umfasst auch eine Liste mit Dateipfaden, die bei der Verschlüsselung ausgespart werden sollen. Dazu gehören Microsoft SQL Server und Mail Clients. Ist der Datenbank-Server direkt an ein Shared Folder gebunden, so verschlüsselt Cerber Dateien, die darauf gespeichert sind.

Cerber stoppt softwarebezogene Prozesse der Datenbank, bevor die Verschlüsselungsroutine abläuft, um deren Erfolg zu sichern. Das Betriebssystem blockt nämlich den Schreibzugriff auf die Datei, wenn die Prozesse laufen. Die Konfigurationsdatei von Cerber 4.1.5 enthält eine lange Liste mit zu verschlüsselnden Dateitypen, einschließlich jener von Microsoft Access, Oracle, MySQL und SQL Server Agent, aber auch Dateien im Zusammenhang mit der Buchhaltung und Datenbanksoftware im Gesundheitswesen.


Bild 4. Verzeichnisse, die Cerber bei der Verschlüsselung überspringt


Bild 5. Snapshot der von Cerber gestoppten Prozesse

Schutz

Die von Ransomware eingesetzten Taktiken, Techniken und Prozeduren weisen auf einen Wechsel der Angriffe hin zu Unternehmen aller Größen. Regelmäßige Backups der wichtigen Daten können den möglichen Schaden durch eine solche Attacke mildern. Viele Varianten nutzen aber auch privilegierte oder Adminkonten, um ihre bösartigen Routinen auszuführen, so etwa Stoppen von Prozessen. Daher ist eine vernünftige Managementrichtlinie für Privilegien ein Muss als Schutz vor Infektionen.

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltensmonitoring oder Echtzeit-Webreputationsdienste, um gegen Ransomware zu erkennen und zu blocken.

Privatanwender schließlich können sich über Trend Micro Security 10 schützen.

Nutzer können auch die kostenlosen Tools wie Trend Micro Lock Screen Ransomware Tool nutzen, das Screen Locker Ransomware erkennt und entfernt. Das Trend Micro Crypto-Ransomware File Decryptor Tool wiederum kann bestimmte Varianten von Crypto-Ransomware entschlüsseln.

TippingPoint-Kunden sind vor Cerber-Angriffen über folgenden MainlineDV-Filter geschützt:

  • ThreatDV 25841: UDP: Ransom_HPCERBER.SM6 (Cerber) Checkin

Der Originalbeitrag listet auch die Indicators of Compromise (IoCs).

Zusätzliche Einsichten von Joseph C. Chen, Jon Oliver und Chloe Ordonia

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*