Untersuchung eines Ransomware-Angriffs mit möglicher Datenexfiltration

Originalartikel von Joelson Soares, Erika Mendoza und Jay Yaneza

Die Managed XDR (MxDR) and Incident Response (IR) Teams von Trend Micro untersuchten kürzlich einen Sicherheitsvorfall bei einem Unternehmen, das Opfer der Nefilim Ransomware geworden war. Die im März dieses Jahres entdeckte Ransomware ist besonders gefährlich, weil die Hintermänner damit drohen, die von dem betroffenen Unternehmen gestohlenen Daten online zu veröffentlichen – eine doppelte Belastung für das Opfer. Denn selbst wenn die Organisation das Lösegeld zahlt und ihre Daten wiederherstellt, haben die Bedrohungsakteure weiterhin Zugang zu den Daten. Diese Masche ist nicht neu, sie wurde auch von anderer Ransomware wie Sodinokibi und DoppelPaymer bereits eingesetzt.

Abfolge des Angriffs

Mithilfe von Trend Micro Deep Discovery Inspector (DDI) konnten Sicherheitsteams die Vorfälle eines Tages Mitte März 2020 nachvollziehen: als erstes gab es den Versuch, eine bösartige Datei (Trojan.Win64.NEFILIM.A) herunterzuladen, die dann für den Download einers RAR-Archivs von einem VPS-gehosteten Server benutzt wird. Ein paar Stunden später erfolgte der Versuch, ein RAR-Archiv mit mehreren Dateien herunterzuladen (technische Einzelheiten im Originalbeitrag).

Trend Micro Deep Security™ (DS) stellte zudem verdächtige Aktivitäten im System fest, wie etwa Beenden von Aktionen oder Remote Code Execution, bis schließlich Nefilim entdeckt wurde.

Auf der Zeitachse lässt sich die Abfolge der Infektion anhand der DDI-Protokolle ablesen – beginnend mit Trojan.Win64.NEFILIM.A, der eine RAR-Datei heruntergeladen hatte, die durch die Verwendung von Batch-Dateien zu einer lateralen Bewegung innerhalb des Systems führte. Der Zielrechner ist in diesem Fall ein Citrix-Server mit Fernzugriff. Es ist unklar, ob der Angreifer Zugriff auf den Server hatte, oder ob der ursprüngliche Downloader durch andere Mittel (d.h. Phishing, Schwachstellen) eingesetzt wurde.

Darüber hinaus legt der Inhalt des RAR-Pakets nahe, dass der Angreifer die Umgebung des Opfers kannte. Interne IP-Adressen, Administrator-Benutzernamen und -Passwörter, Dienste und Prozesse wurden alle in den Batch-Dateien aufgeführt. Darüber hinaus zeigten die Daten des Trend Micro Smart Protection Network (SPN) nur zwei Treffer — einen, der diesem Vorfall entsprach, und einen weiteren in den Vereinigten Staaten –, was darauf hindeutet, dass es sich um einen sehr gezielten Angriff handelte.

Obwohl die erste Beschreibung der Funktionsweise der Nefilim-Ransomware von exponierten Remote Desktop Protocol (RDP)-Ports als Eintrittspunkte ins System ausging, könnten die Bedrohungsakteure in diesem Fall andere Eintrittspunkte benutzt haben, höchstwahrscheinlich irgendeine Form des Fernzugriffs direkt auf die Umgebung.

Kombination von Datendiebstahl und Ransomware

Bei diesem Angriff fällt auf, dass die Hintermänner nicht nur auf Nefilim setzten. Möglicherweise hatten sie die Daten bereits exfiltriert, noch bevor sie einen vollständigen Ransomware-Angriff starteten.

Der Fall zeigt, dass es nicht ausreicht, sich nur auf das Erkennen von Anzeichen eines Angriffs zu konzentrieren, sondern dass es wichtig ist, auch Hinweise auf laterale Bewegungen und Datenexfiltration innerhalb der Umgebung entdecken zu können. Der Eintrittspunkt eines Angriffs liegt möglicherweise nicht dort, wo sich die wichtigen Daten befinden. Daher sind Bedrohungsakteure auch daran interessiert, sich innerhalb der Umgebung bewegen zu können (Host-zu-Host), um in die Teile des Systems zu gelangen, in denen die interessanteren Daten gespeichert sind. Ebenso wichtig ist die Fähigkeit, ungewöhnliche Muster des ausgehenden Datenverkehrs für Hosts (Host-to-external) zu erkennen, da dies eine potenzielle Datenexfiltration darstellt.

Unterstützung durch Sicherheits-Services wie Trend Micro™ Managed XDR

Die von den Angreifern in diesem Fall angewandten Methoden wurden immer wieder beobachtet, selbst bei Bedrohungsakteuren, die andere Ransomware wie RYUK einsetzen.

Heutzutage, wo Home Office an Bedeutung gewinnt, ist eine effiziente Umsetzung der Sicherheitspolitik wichtiger denn je. Während große Organisationen in der Lage sind, Sicherheitsteams aufzubauen, die die Arbeitsumgebung sowohl im Büro als auch zu Hause im Auge behalten können, verfügen kleinere Unternehmen möglicherweise nicht über die dafür erforderlichen Ressourcen.

In solchen Fällen können Sicherheits-Services wie die von Trend Micro™ Managed XDR dazu beitragen, die Sicherheit einer Organisation zu verbessern. Sie bieten Übersichtlichkeit und ein breites Spektrum an fachkundiger Sicherheitsanalyse, die Detection-and-Response-Funktionen über Netzwerke, Endpunkte, E-Mails, Server und Cloud-Workloads hinweg integrieren.

Durch den Einsatz fortschrittlicher Analyse- und KI-Techniken (Künstliche Intelligenz) überwacht das Managed XDR-Team die IT-Infrastruktur der Organisation rund um die Uhr und ermöglicht so die Korrelation und Priorisierung von Warnmeldungen je nach Schweregrad. Organisationen können auf erfahrene Cybersicherheitsexperten zurückgreifen, die fachkundig eine Ursachenanalyse durchführen, um zu verstehen, wie Angriffe initiiert werden, wie weit sich Bedrohungen im Netzwerk ausgebreitet haben und welche Abhilfemaßnahmen ergriffen werden müssen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.