Analyse des Angriffs auf Kaseya
Digitales Freibeutertum
Fortsetzung des Artikels von Teil 1
Der Angriff auf Kaseya im Detail
Hintergründe und Details zum Angriff beschrieb jüngst der US-amerikanische Security-Anbieter Palo Alto Networks: „REvil hat sich zu einem der berüchtigtsten Ransomware-Betreiber der Welt entwickelt“, schrieb Unit 42, Palo Altos Cybersecurity-Analyseteam. Schließlich hat REvil erst letzten Monat elf Millionen Dollar vom weltgrößten Fleischverpackungsunternehmen JBS (mit Hauptsitz in Brasilien und zweitem Firmensitz in Dallas, Texas) erpresst. Man sei REvil erstmals 2018 begegnet, als die Kriminellen mit der GandCrab-Gruppierung zusammenarbeiteten, um Ransomware durch Malvertising und Exploit-Kits zu verbreiten. „Diese Gruppe entwickelte sich zu REvil, wuchs und erwarb sich den Ruf, riesige Datensätze zu exfiltrieren und Lösegelder in Höhe von mehreren Millionen Dollar zu fordern“, so Palo Alto. „Sie gehört nun zu einer Elitegruppe von Cybererpresserbanden, die für den Anstieg der lähmenden Angriffe verantwortlich sind, die Ransomware zu einer der drängendsten Sicherheitsbedrohungen für Unternehmen und Nationen rund um den Globus gemacht haben.“
Als eine der bekanntesten RaaS-Anbieter (Ransomware as a Service) biete die kriminelle Gruppe anpassungsfähige Ver- und Entschlüsselungsprogramme, Infrastruktur und Dienste für die Verhandlungskommunikation sowie eine Leak-Site zur Veröffentlichung gestohlener Daten, wenn die Opfer die Lösegeldforderung nicht bezahlen. Dafür nehme REvil einen Prozentsatz des ausgehandelten Lösegeldpreises als Gebühr in Anspruch. REvil praktiziert also die sogenannte „doppelte Erpressung“: Erstens verschlüsselt der Angreifer Unternehmensdaten, sodass die Unternehmen nicht auf ihre Informationsbestände zugreifen und kritische Systeme nicht verwenden können, und fordert Lösegeld für die Entschlüsselung; zweitens stiehlt er aber auch Daten und droht damit, die Interna – darunter gegebenenfalls auch Börsenrelevantes – auf einer Leak-Site zu veröffentlichen.
Im ersten Halbjahr 2021 haben Kriminelle mit REvil nach Palo-Alto-Berechnungen durchschnittlich zirka 2,25 Millionen Dollar (in Bitcoins) erbeutet. Die Höhe der Lösegelder hänge von der Größe des Unternehmens und der Art der gestohlenen Daten ab. Dabei verdoppeln die Angreifer oft die Forderung, wenn die Opfer die vorgegebene Zahlungsfrist nicht einhalten. Bei der Höhe des Lösegelds ist die Erpressergruppe laut Experten allerdings verhandlungsbereit.
REvil-Bedrohungsakteure verwenden laut Palo-Alto-Angaben zuvor kompromittierte Zugangsdaten, um per RDP (Remote Desktop Protocol) aus der Ferne auf externe Ressourcen zuzugreifen. Eine weitere häufig beobachtete Taktik sei eine Infiltration mit Malware per Phishing. Man habe aber auch schon einige einzigartige Angriffsvektoren beobachtet, darunter zum Beispiel das Ausnutzen aktueller Schwachstellen des Microsoft Exchange Servers.
Sobald die Kriminellen sich Zugang verschafft haben, nutzen sie laut den Experten in der Regel das Angriffswerkzeug Cobalt Strike, um sich in einer IT-Umgebung einzunisten, mitunter aber auch Remote-Control-Software wie ScreenConnect und AnyDesk. „In anderen Fällen erstellten sie ihre eigenen lokalen und Domain-Konten, die sie der Gruppe ‚Remote Desktop Users’ hinzufügten“, so die Palo-Alto-Fachleute. „Außerdem deaktivierten die Bedrohungsakteure häufig Antiviren- und Sicherheitsdienste sowie Prozesse, die ihre Anwesenheit in der Umgebung stören oder anderweitig aufdecken würden.“
Danach verschaffen sich die Kriminellen laut Unit 42 Zugang zu zusätzlichen Konten, die über eine breitere Palette von Berechtigungen verfügen (Privilegeskalation), um sich weiter in der Umgebung des Opfers zu bewegen und ihre Mission auszuführen. Dazu komme oft Mimikatz zum Einsatz, um auf zwischengespeicherte Zugangsdaten auf dem lokalen Host zuzugreifen, oder aber das SysInternals-Tool procdump als Mittel, um den LSASS-Prozess (Local Security Authority Subsystem Service) zu dumpen. Während der Erkundungsphase verwende die Angreiferseite auch oft Open-Source-Tools, um Informationen über die Umgebung des Opfers zu sammeln, und greife in einigen Fällen auf die administrativen Befehle Netstat und IPconfig zurück, um Informationen zu sammeln.
In der letzten Phase ihres Angriffs gehe die Angreiferseite dann dazu über, Netzwerke zu verschlüsseln, Daten zu exfiltrieren und anschließend zu zerstören, um eine Wiederherstellung zu verhindern und die Analyse zu erschweren. REvil-Bedrohungsakteure setzten laut Unit-42-Erkenntnissen die Ransomware-Verschlüsselungsprogramme in der Regel mit dem legitimen Verwaltungstool PsExec ein. Dabei nutzen sie eine Textdateiliste mit Computernamen oder IP-Adressen des Opfernetzwerks, die sie in der Erkundungsphase erhalten hatten, oder auch BITS-Jobs (Background Intelligent Transfer Service), um die Ransomware aus der Infrastruktur abzurufen. In einem anderen Fall habe der REvil-Bedrohungsakteur seine Malware auf MEGASync gehostet.
Unit 42 hat zudem beobachtet, dass die Kriminellen diverse Verteidigungsmanöver (Evasion Techniques) nutzen, um einer Erkennung zu entgehen: „Während der Verschlüsselungsphase dieser Angriffe nutzten die REvil-Angreifer Batch-Skripts und wevtutil.exe, um 103 verschiedene Ereignisprotokolle zu löschen.“ Zudem lösche man, eine übliche Taktik, Schattenkopien (Volume Shadow Copies) von Windows-Systemen, offenbar um die Wiederherstellung forensischen Beweismaterials zu verhindern.
Gegenmaßnahmen
Palo Alto Networks rät vor diesem Hintergrund, IT-Organisationen sollten sich die Zeit nehmen, um zu lernen, was in ihren Umgebungen normal ist, um Anomalien bemerken und hinterfragen zu können. Ebenso gelte es, die Verteidigungsmaßnahmen zu hinterfragen: „Müssen alle Benutzer in der Lage sein, makroaktivierte Dokumente zu öffnen? Verfügt das Unternehmen über Endpunktsichtbarkeit und Schutzmaßnahmen, die zumindest vor Sekundärinfektionen wie QakBot warnen? Wenn Unternehmen unbedingt RDP benötigen, verwenden sie dann tokenisierte Multi-Faktor-Authentifizierung?“ Fragen wie diese gelte es, nicht nur einmal zu stellen, sondern routinemäßig immer wieder.
Zu einer weiteren Verteidigungsmaßnahme, die insbesondere angesichts russischen Freibeutertums von Nutzen sein kann, rät Security-Blogger Brian Krebs. Es sei festzustellen, „dass praktisch alle Ransomware-Stämme über eine eingebaute Failsafe-Funktion verfügen, die den Malware-Anbietern den Rücken freihalten soll: Sie lassen sich einfach nicht auf einem Microsoft-Windows-Computer installieren, auf dem bereits eine der vielen Arten virtueller Tastaturen installiert ist – beispielsweise Russisch oder Ukrainisch“, so Krebs.
Es könnte somit ratsam sein, Russisch als zusätzliche Tastatursprache auszuwählen – natürlich nicht anstelle von, sondern als Ergänzung zu durchdachten Security-Maßnahmen. Ob es einst half, unter britischer Flagge zu segeln, um Francis Drake & Co. fernzuhalten, ist fraglich – die Freibeuter dürften spanische Galeonen schon an der Bauform erkannt haben. Wenn hingegen heute das Hissen einer russichen Flagge auf der Computertastatur hilft – warum nicht? Aber man möchte sich zur Abwehr digitaler Piraten natürlich nicht gänzlich auf ein buntes Wimpelchen verlassen.
- Digitales Freibeutertum
- Der Angriff auf Kaseya im Detail
Lesen Sie mehr zum Thema
