Weiterentwicklungen bei Ransomware: Seth-Locker, Babuk Locker, Maoloa, TeslaCrypt

Originalartikel von Raphael Centeno, Monte de Jesus, Don Ovid Ladores, Junestherry Salvador, Nikko Tamana, Llalum Victoria

Ransomware wird ständig weiterentwickelt, und zwar nicht nur diejenigen Familien, die gut im Geschäft sind oder mit deren Hilfe gezielte Kampagnen durchgeführt werden, sondern auch die neuen Familien, wie etwa Seth-Locker. Der Beitrag gibt eine Übersicht über die Eigenheiten und Fähigkeiten der Familien.

Neue Ransomware Seth-Locker

Ein interessantes Merkmal der neuen Ransomware Seth-Locker ist, dass sie zusammen mit der Erpresserroutine einige Backdoor-Routinen in ihre schädlichen Dateien einbaut. Zu diesen Routinen gehören welche zum Lesen von Inhalten vom Command-and-Control (C&C)-Server, eine zum Herunterladen und Ausführen einer Datei und eines Kommandozeilen-Befehls, eine zum Ausführen der Ransomware-Routine und schließlich eine um einen Prozess oder sich selbst zu beenden. Weitere technische Details beinhaltet der Originalbeitrag.

Da der Code mehrere Anfängerfehler und Versehen aufweist, ist anzunehmen, dass er sich noch in der Entwicklung befindet. Zum Beispiel sind Malware-Befehle leicht sichtbar und Wiederholungen von zu prüfenden Dateierweiterungen im Code vorhanden. Ein weiteres Anzeichen ist die mangelnde Raffinesse beim Verbergen seiner Routinen und Techniken.

Weiterentwicklungen in Babuk Locker

Auch Babuk Locker ist eine neue Ransomware-Familie und die erste Unternehmens-Ransomware, die 2021 entdeckt wurde. Sie zeigt sich als sehr aktiv und wird rasch weiterentwickelt. Anfang 2021 hatte sie bereits einige Unternehmen angegriffen und droht mit der Veröffentlichung gestohlener Informationen.

Auch wenn es sich um eine neue Ransomware-as-a-Service (RaaS) handelt, folgt ihre Funktionsweise den Methoden bekannter gezielter Ransomware-Angriffe. Der erste Zugriff erfolgt wahrscheinlich über kompromittierte Benutzerkonten, die Ausnutzung von Schwachstellen oder bösartigen Spam. Die Bedrohungsakteure bewegen sich dann lateral, um eine Bestandsaufnahme des Netzwerks und wichtiger Dateien des Opfers zu machen, da sie Daten als Teil ihrer doppelten Erpressungsmethode exfiltrieren. Danach verteilen sie ihre Ransomware Payload. Außerdem veröffentlichen sie unter Umständen die exfiltrierten Daten in einem Blog oder auf einer von ihnen betriebenen Tor-Site. Bemerkenswert an Babuk Locker sind der Verlauf der Angriffe und die Tatsache, dass die Bedrohungsakteure eine Tor-Site nutzen, um mit ihren Opfern zu kommunizieren.

Bestimmte Aspekte weisen Ähnlichkeiten mit anderer bekannter Ransomware auf. Insbesondere die Lösegeldforderung ist auffällig, da sie mit der von DarkSide verwendeten übereinstimmt, und das legt nahe, dass diese beiden Ransomware-Familien miteinander verbunden sein könnten. In Bezug auf die Techniken scheint Babuk Locker auch einiges von älterer Ransomware wie Conti, Ryuk und Ragnar Locker übernommen zu haben. Wie diese beendet die Schadsoftware beispielsweise Prozesse und Dienste, die mit Anwendungen, Backup-Software, Endpunktsicherheit und Servern in Verbindung stehen. Weitere technische Details beinhaltet der Originalbeitrag.

Die Leak-Site von Babuk Locker bietet weitere Anhaltspunkte. Die Seite kündigt eine Namensänderung (Babyk) an und behauptet, die Gruppe hinter der Variante sei nicht böswillig, sondern wolle Sicherheitsprobleme in Unternehmen aufdecken. Interessanterweise listet die Leak-Site auch Entitäten auf, die aus dem Interessenbereich der Gruppe ausgeschlossen sind. Diese Liste war bereits vor der Änderung vorhanden und ist das erste Mal, dass wir eine Ransomware-Variante beobachten, die diese Art von Diskretion zeigt.

Bild. Liste der Organisationen, die von Babyks Angriffen ausgeschlossen sind.

TeslaCrypt deaktiviert Systemsicherheit

Tesla Crypt stellt eine ältere Ransomware-Familie dar. Sie wird über Spam-Mails verteilt, die ein bösartiges Binary herunterladen. Der Schlüssel von TeslaCrypt stammt von 2016, also sollte es eine „ausgestorbene“ Ransomware sein. Doch scheint es eine neue Variante zu geben, oder es handelt sich einfach um eine Nachahmerversion.

Bemerkenswert an dieser Malware ist, wie sie die Sicherheit ihres Opfers herabsetzt. Sie deaktiviert zunächst Windows Defender, bevor sie eine sehr lange Liste von etwa 300 anderen Diensten wie Debugger und sicherheitsrelevante Anwendungen beendet. Die Autoren scheinen darauf abzuzielen, die Verfügbarkeit einer Wiederherstellungsmethode für das System ihres Opfers einzuschränken.

Weiterentwicklungen für Maoloa

Die Ransomware wurde 2019 zuerst gesichtet. Sie kam neben anderer Malware auch in einem Angriff auf Krankenhäuser in Rumänien zum Einsatz. Maoloa wurde auch mit der älteren GlobeImposter Ransomware in Verbindung gebracht. Die jetzt entdeckte Variante nutzt legitime Tools (certutil, Autoit) als Vermeidungstaktik. Weitere technische Details beinhaltet der Originalbeitrag.

Schutz vor Ransomware

Heutige Ransomware ändert sich schnell, und Nutzer müssen darauf vorbereitet sein:

  • Aufstellen einer effizienten Backup-Strategie, die der 3-2-1-Regel folgt,
  • Starke Passwörter im gesamten Netzwerk durchsetzen.
  • Netzwerksegmentierung durchführen, um wichtige Prozesse und Systeme vom breiteren Netzzugang zu separieren.
  • Sicherheitsbewusstsein dazu, wie sich Ransomware im Unternehmen ausbreitet, verbessern.
  • Netzwerkverkehr überwachen und auditieren, um jegliches verdächtige Verhalten und Abweichungen zu erkennen.

Trend Micro-Lösungen

Trend Micro-Lösungen wie Smart Protection Suite  und Worry-Free Business Security Services  umfassen Verhaltensmonitoring, und können Unternehmen vor dieser Art der Bedrohung schützen. Sie erkennen bösartige Dateien, Skripts sowie Nachichten und können alle damit zusammenhängenden URLs blockieren. XGen Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.

Der Originalbeitrag beinhaltet eine Liste der Indicators of Compromise.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.