Ransomware in neuem „Franchise“-Geschäftsmodell

Originalartikel von Fernando Merces, Senior Threat Researcher

Bei der Recherche zu den Aktivitäten des Teams hinter der XingLocker Ransomware stießen wir auf ein relativ neues interessantes Geschäftsmodell, das sich anscheinend an Franchising orientiert. Insbesondere stellten wir fest, dass die Betreiber einen Ransomware-as-a-Service (RaaS) als eine Art „Lieferant“ verwenden – sie geben der Ransomware einen neuen Namen, bevor sie den übergeordneten RaaS einsetzen, anstatt die Ransomware einfach unter dem ursprünglichen Namen zu verbreiten. Betreiber von Ransomware sind dafür bekannt, in ihrem Geschäft sehr erfinderisch zu sein, und sie entwickeln sich ständig weiter, da immer mehr ihrer Ziele ihre Taktiken kennen und Sicherheitslösungen einsetzen.

XingLocker ist eine Ransomware-Familie, die Windows-Systeme ins Visier nimmt. Derzeit gibt es eine neu benannte Version von Mount Locker, deren Erpressernachricht auf einen anderen Onion-Dienst im Tor-Netz verweist.

Bild 1. XingLockers Nachricht auf der “Support”-Seite des Opfers”, die angezeigt wird, sobald der Empfänger auf den Link in der Nachricht klickt.

Die Verbindung zwischen Mount Locker und einer anderen Ransomware-Gruppe namens AstroLocker Team wurde von Sophos bereits im März 2021 untersucht. Ein Vergleich der berüchtigten Willkommensnachricht mit der im Blogbeitrag von Sophos gezeigten lässt vermuten, dass das XingLocker-Team eine weitere Mount Locker-Franchise-Unternehmung ist. Bei der Untersuchung fiel auf, dass für jedes Opfer eine andere Onion-Adresse genutzt wurde. Anstatt mehrere Server einzurichten, wie in vielen Fällen, hatte das XingLocker-Team mehrere Adressen aufgesetzt, die auf denselben Server verweisen. Des Weiteren zeigte eine Analyse der http-Anfragen an diesen Server noch weitere Verzeichnisse.

Gemeinsam genutzte Infrastruktur

Diese Verzeichnisse enthielten Daten von Unternehmen, die von einer anderen Gruppe – AstroLocker Team– angegriffen worden waren. Der Originalbeitrag listet die Namen einiger der Opfer von AstroLocker Team (und nicht von XingLocker) auf. Ebenso finden Sie im Originalbeitrag die Onion-Adressen der verschiedenen Server und eine Zuordnung zu den Gruppen.

Diese Form der gemeinsam genutzten Infrastruktur und des Codes erschwert die Untersuchungen. Es ist nicht ungewöhnlich, XingLocker-Samples zu finden, die dann als Mount Locker erkannt werden, oder zwei verschiedene Onion-Adressen zu identifizieren, die auf denselben Onion-Dienst verweisen, aber von verschiedenen Gruppen verwendet werden. Forscher sollten sich dieser Faktoren bei der Untersuchung von Ransomware bewusst sein.

Bei den meisten RaaS-Modellen arbeiten die Partner mit der Ransomware-Gruppe zusammen, um eine bestimmte Ransomware auf so vielen Rechnern wie möglich zu installieren, und teilen sich dann den Gewinn. Dies ist für die Angreifer von Vorteil, denn wenn die Opfer nach der Ransomware suchen und viele Berichte darüber sehen, ist die Wahrscheinlichkeit größer, dass sie zahlen. Der Nachteil ist, dass die Partner weitgehend anonym sind und diese Angriffe nicht als Grundlage für ihr eigenes kriminelles Geschäft nutzen können.

Es scheint, dass wir jetzt ein neues „Franchise“-RaaS-Modell mit XingLocker, AstroLocker und Mount Locker gesehen haben. Bei diesem Modell gibt es offenbar einen Haupt-RaaS (in diesem Fall Mount Locker), und dann lizenzieren die Partner die Ransomware und veröffentlichen sie unter ihrem eigenen Namen und ihrer eigenen Marke.

Schutzmaßnahmen vor Ransomware

Schutz-Frameworks von  Center of Internet Security und dem National Institute of Standards and Technology können Unternehmen dabei unterstützen, die Auswirkung von Ransomware-Angriffen zu mindern oder gar zu verhindern:

  • Audit und Inventur: Inventarisierung aller Unternehmensressourcen und -daten und Identifizierung autorisierter und nicht autorisierter Geräte, Software und Mitarbeiter, die auf bestimmte Systeme zugreifen. Prüfen und überwachen Sie alle Logs von Ereignissen und Vorfällen, um ungewöhnliche Muster und Verhaltensweisen zu erkennen.
  • Konfiguration und Monitoring: Verwaltung von Hardware- und Softwarekonfigurationen und Erteilung von Verwaltungsrechten und Zugriffsrechten für bestimmte Personen nur dann, wenn dies unbedingt erforderlich ist. Überwachen Sie die Nutzung von Netzwerk-Ports, Protokollen und Diensten. Implementieren Sie Sicherheitskonfigurationen auf Netzwerkinfrastrukturgeräten wie Firewalls und Routern, und führen Sie eine Software-Zulassungsliste, um die Ausführung bösartiger Anwendungen zu verhindern.
  • Patches und Updates: Durchführung regelmäßiger Schwachstellenprüfungen und regelmäßiges Patching oder virtuelles Patching von Betriebssystemen und Anwendungen. Stellen Sie sicher, dass alle installierte Software und Anwendungen auf die neuesten Versionen aktualisiert werden.
  • Schutz und Wiederherstellung: Durchsetzung von Maßnahmen zum Schutz, zur Sicherung und zur Wiederherstellung von Daten. Implementieren Sie eine Multifaktor-Authentifizierung auf allen verwendeten Geräten und Plattformen, sofern verfügbar.
  • Absicherung und Verteidigung: Sandbox-Analysen zur Untersuchung und Blockieren bösartiger Mails. Setzen Sie die neueste Version von Sicherheitslösungen auf allen Ebenen des Systems ein, einschließlich Mail, Endpunkten, Web und Netzwerk. Erkennen Sie frühzeitig Anzeichen eines Angriffs, z. B. über das Vorhandensein verdächtiger Tools im System, und aktivieren Sie fortschrittliche Erkennungstechnologien, wie z. B. solche, die mit KI und maschinellem Lernen arbeiten.
  • Schulung und Tests: Regelmäßige Bewertung der Sicherheitskompetenz und Schulung aller Mitarbeiter sowie Durchführung von Penetrationstests.

Trend Micro-Lösungen

Hilfe kann von Sicherheitslösungen kommen, die die verschiedenen Ebenen eines Systems (Endpunkt, E-Mail, Web und Netzwerk) nicht nur zur Erkennung bösartiger Komponenten, sondern auch zur genauen Überwachung verdächtiger Verhaltensweisen im Netzwerk einbeziehen.

Trend Micro™ Vision One™ liefert einen mehrschichtigen Schutz und Verhaltenserkennung. Für eine tiefer gehende Untersuchung von Endpunkten unterstützt Trend Micro Apex One™  mit automatisierter Bedrohungserkennung und Reaktion beim Schutz vor dateilosen Bedrohungen und Ransomware. So kann Ransomware frühzeitig erkannt und blockiert werden, bevor sie wirklichen Schaden im System anrichtet.

Mit Techniken wie virtuellem Patching und maschinellem Lernen bietet Trend Micro™ Cloud One™ Workload Security Sicherheit sowohl vor bekannten als auch unbekannten Bedrohungen, die Sicherheitslücken missbrauchen.

Schließlich kann Trend Micro™ Deep Discovery™ Email Inspector schützen, denn die Lösung verwendet benutzerdefinierte Sandboxing- und fortschrittliche Analysetechniken, um Ransomware effektiv zu blockieren, bevor sie in das System gelangt.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.