AvosLocker-Ransomware im Rampenlicht

Originalartikel von Trend Micro Research

AvosLocker ist eine der neueren Ransomware-Familien, die die von REvil hinterlassene Lücke füllen soll. Sie ist zwar nicht so bekannt und aktiv wie LockBit oder Conti, macht sich aber nach einem Advisory des FBIs langsam einen Namen. Dem Advisory zufolge zielt AvosLocker auf kritische Infrastrukturen in verschiedenen Bereichen der USA, wobei Angriffe auch in anderen Ländern wie Kanada, Großbritannien und Spanien beobachtet wurden. Obwohl die Erkennungsraten gering sind, sollte die Ransomware wegen des geschickten Einsatzes bekannter Taktiken im Auge behalten werden.

Auch diese Erpressersoftware wird als Ransomware-as-a-Service (RaaS) vertrieben. Entdeckt wurde sie im Juli 2021 und hat seitdem mehrere Varianten hervorgebracht. Die wichtigsten Merkmale von AvosLocker:

  • Sie verwendet das Fernadministrations-Tool AnyDesk. Das RAT (Remote Administration Tool) dient dazu, sich mit den Rechnern der Opfer zu verbinden. Damit kann der Betreiber per Hand eingreifen und den Rechner infizieren.
  • Sie läuft im Safe-Modus. AvosLocker führt sich im Rahmen seiner Verschleierungstaktik selbst im abgesicherten Modus aus. Der Angreifer startet den Computer neu, deaktiviert bestimmte Treiber und läuft im abgesicherten Modus, wodurch er bestimmte Sicherheitsmaßnahmen umgeht, die in diesem Modus nicht ausgeführt werden können. Die Betreiber richteten auch bestimmte Treiber ein, um sicherzustellen, dass AnyDesk auch im abgesicherten Modus ausgeführt werden kann. Diese Taktik wurde bereits von der inzwischen stillgelegten REvil-Ransomware verwendet.
  • Betreiber versteigern gestohlene Daten. Auch AvosLocker versteigert wie schon REvil gestohlene Daten auf seiner Website, zusätzlich zu seinem doppelten Erpressungsschema. Dies könnte der Weg sein, einen einzelnen erfolgreichen Angriff weiter zu monetarisieren oder einen gescheiterten Angriff zu retten.

AvosLocker folgte zudem dem Trend der Angriffe auf Linux-Maschinen und hat seit Oktober 2021 eine entsprechende Variante im Angebot, um ESXi virtuelle Machinen (VMs) angreifen zu können. Die Akteure hinter AvosLocker als RaaS führen vor jeder Kampagne Erkundungsmaßnahmen durch. Sie wählen ihre Ziele danach aus, ob sie in der Lage sind, das geforderte Lösegeld zu zahlen.

Am stärksten betroffene Branchen und Länder

Unsere Telemetriedaten zu AvosLocker-Aktivitäten aus der ganzen Welt zeigen die meisten Angriffe zwischen dem 1. Juli 2021 und dem 28. Februar 2022 in Indien und Kanada.

Bild 1. Länder mit der höchsten Anzahl von Angriffsversuchen pro Computer (1. Juli 2021 bis 28. Februar 2022) Quelle: Trend Micro™ Smart Protection Network™

Unsere Erkennungen ergaben, dass die Ransomware im Lebensmittel- und Getränkesektor am aktivsten war, gefolgt von Technologie und Finanzen. Angesichts der geringen Stichprobengröße ist dies jedoch nur ein schmaler Ausschnitt.

Bild 2. Aktivitäten von AvosLocker nach Branchen. Quelle: Trend Micro Smart Protection Network

Die höchste Anzahl von Erkennungen gab es im Februar, und damit setzt sich der zu Jahresbeginn beobachtete plötzliche Anstieg fort.

Bild 3. Monatliche Erkennungen pro Maschine (1. Juli 2021 bis 28. Februar 2022) Quelle: Trend Micro™ Smart Protection Network™

Anvisierte Regionen und Wirtschaftszweige laut der AvosLocker-Leak Site

Die AvosLocker Leak-Site bietet eine andere Sicht auf die Ziele. Für den Zeitraum vom 1. Dezember 2021 bis zum 28. Februar 2022 fanden wir dort 15 aufgelistete Unternehmen. Die aufgeführten Organisationen wurden erfolgreich angegriffen und zahlten in diesem Zeitraum nicht das geforderte Lösegeld.

Bei der Gruppierung der Liste nach Regionen stellten wir fest, dass AvosLocker seine Bemühungen auf Ziele in Nordamerika konzentrierte.

Bild 4. Geografische Verteilung der AvosLocker-Opfer laut Leak Site der Betreiber

Mehr als die Hälfte der 15 Organisationen waren kleine Unternehmen, und es ließ sich kein Trend hinsichtlich einer bestimmten Branche erkennen. Auffällig ist, dass AvosLocker im Vergleich zu anderen bekannteren Ransomware-Familien relativ geringe Aktivitäten aufwies, zumindest lassen unsere Entdeckungen und Beobachtungen auf der Leak Site diesen Schluss zu. Aufgrund der begrenzten Stichprobengröße könnte eine weitere Überwachung erforderlich sein, um Trends zu erkennen.

Infektionsablauf und Techniken

Der Infektionsablauf im RaaS-Geschäftsmodell ist je nach Ziel unterschiedlich.

Bild 5. Infektionsablauf

Erstzugang: AvosLocker nutzt Zoho ManageEngine ServiceDesk Plus und dessen Exploit für den Erstzugang und den Download der Webshell sowie AnyDesk. Auch nutzt die Malware kompromittierte Konten, um über RDP oder ein virtuelles privates Netzwerk (VPN) auf die Opfer zuzugreifen.

Umgehungstaktiken, Entdeckung und Credential-Zugang: Die Malware nutzt den Avast Anti-Rootkit-Treiber und ein PowerShell-Skript, um bestimmte Antivirenprozesse zu deaktivieren; ein BAT Skript für die Deaktivierung von Antivirus-Diensten, die im Windows Safe Mode funktionieren. Mit Mimikatz und XenArmor Password Recovery Pro Tool versucht der Schädling Credentials zu sammeln. Weitere Tools sind Nmap, NetScan sowie native Windows-Befehle (ipconfig, nslookup u.as.) für die Erkundung des Netzwerks. Sie vermeidet die Ransomware-Payload ins Zielsystem zu schreiben.

Laterale Bewegungen, Command-and-Control: AvosLocker installiert AnyDesk, um die Kontrolle über die anvisierten Systeme zu erlangen. Mit PDQ Deploy verteilt sie das Windows-Batch-Skript auf den Zielsystemen, und führt es dort aus.

Auswirkungen: Dann wird die Payload (AvosLocker) ausgeführt (sowohl eine Windows- als auch eine Linux-Version), um schließlich mit der Verschlüsselungsroutine weiter zu machen. Um im abgesicherten Modus ausgeführt werden zu können, fügt das Programm unter Autostart einen RunOnce-Registrierungseintrag hinzu. Weitere Untersuchungen zeigten, dass AvosLocker auf mehrere Arten über die RunOnce-Registrierung ausgeführt werden kann: direkte Ausführung der Payload, Ausführen eines PowerShell-Skripts, das die Payload enthält, Ausführen eines PowerShell-Skripts, das die Payload aus einer getarnten .jpg-Datei entschlüsselt und ausführt sowie das Ablegen einer Erpressernachricht.

Weitere technische Details und MITRE Tactics and Techniques bietet der Originalbeitrag.

Empfehlungen

Um Systeme vor ähnlichen Bedrohungen zu schützen, können Unternehmen Sicherheits-Frameworks einrichten, mit denen sie systematisch Ressourcen für eine solide Abwehr von Ransomware bereitstellen können. Im Folgenden finden Sie einige bewährte Verfahren, die in diese Frameworks aufgenommen werden können:

  • Audit und Inventur: Erstellen sie eine Übersicht über die Assets und Daten und identifizieren Sie autorisierte und nicht autorisierte Geräte und Software. Führen Sie einen Audit der Ereignis-Logs durch.
  • Konfigurieren und Monitoren: Verwalten Sie Hardware- und Softwarekonfigurationen. Gewähren Sie Administratorrechte und Zugriff nur dann, wenn dies für die Rolle eines Mitarbeiters erforderlich ist. Überwachen Sie Netzwerk-Ports, Protokolle und Dienste. Aktivieren Sie Sicherheitskonfigurationen auf Netzwerkinfrastrukturgeräten wie Firewalls und Routern. Erstellen Sie eine Software-Zulassungsliste, die nur legitime Anwendungen ausführt.
  • Patchen und Updaten: Führen Sie regelmäßige Schwachstellenüberprüfungen durch. Patchen und aktualisieren Sie Betriebssysteme und Anwendungen.
  • Schützen und wiederherstellen: Implementieren Sie Maßnahmen für den Datenschutz, Backup und Wiederherstellung. Setzen Sie Multifaktor-Authentifizierung ein.
  • Sichern und verteidigen: Implementieren Sie Sandbox-Analyse, um bösartige Mails zu blockieren. Stellen Sie die neuesten Versionen von Sicherheitslösungen auf allen Ebenen des Systems bereit, einschließlich Mail, Endpunkt, Web und Netzwerk. Erkennen Sie frühzeitig Anzeichen eines Angriffs, z. B. das Vorhandensein von verdächtigen Tools im System, und nutzen Sie fortschrittliche Erkennungstechnologien, z. B. auf der Grundlage von KI und maschinellem Lernen.
  • Schulen und testen

Ein mehrschichtiger Sicherheitsansatz kann Unternehmen dabei helfen, die möglichen Eintrittspunkte in das System (Endpunkt, E-Mail, Web und Netzwerk) zu schützen. Sicherheitslösungen, die bösartige Komponenten und verdächtiges Verhalten erkennen, können Unternehmen schützen. Eine Liste der Indicators of Compromise (IOCs) gibt es hier.

Auch eine Infografik zu dieser Ransomware können Sie lesen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.