Ransomware-Analyse und Report
Aktuelle Erkenntnisse von Unit 42 zur Ransomware-Gruppe REvil
Unit 42 Ransomware Threat Report 2021
REvil hat sich zu einem der berüchtigtsten Ransomware-Betreiber der Welt entwickelt. Allein im letzten Monat erpresste die Gruppe eine Zahlung von elf Millionen Dollar vom weltgrößten Fleischverpackungsunternehmen. Sie forderte fünf Millionen Dollar von einem brasilianischen Unternehmen für medizinische Diagnostik und startete einen groß angelegten Angriff auf Dutzende, vielleicht Hunderte von Unternehmen, die IT-Management-Software von Kaseya VSA verwenden.
Während REvil (auch bekannt als Sodinokibi) wie ein neuer Akteur in der Welt der Cyberkriminalität erscheinen mag, beobachtet Unit 42 die mit dieser Gruppe verbundenen Bedrohungsakteure bereits seit drei Jahren. Die Forscher begegnete ihr zum ersten Mal 2018 begegnet, als sie mit einer als GandCrab bekannten Gruppe zusammenarbeitete. Damals konzentrierten sich REvil hauptsächlich auf die Verbreitung von Ransomware durch Malvertising und Exploit-Kits, d. h. bösartige Werbung und Malware-Tools, mit denen Hacker ihre Opfer durch Drive-by-Downloads infizieren, wenn diese eine bösartige Website besuchen.
Diese Gruppe entwickelte sich zu REvil, wuchs und erwarb sich den Ruf, riesige Datensätze zu exfiltrieren und Lösegelder in Höhe von mehreren Millionen Dollar zu fordern. Sie gehört nun zu einer Elitegruppe von Cybererpresserbanden, die für den Anstieg der lähmenden Angriffe verantwortlich sind, die Ransomware zu einer der drängendsten Sicherheitsbedrohungen für Unternehmen und Nationen rund um den Globus gemacht haben.
Anfang des Jahres hat Unit 42 eine Bedrohungsanalyse veröffentlicht, die REvil/Sodinokibi mit GrandCrab in Verbindung bringt. Der Blog liefert Einblicke von Unit 42 Cybersecurity-Beratern, die in den ersten sechs Monaten des Jahres 2021 mehr als ein Dutzend REvil-Ransomware-Fälle bearbeitet haben. Diese Berichte über die Taktiken von REvil und die Schritte, die zur Abwehr dieser Bedrohung unternommen wurden, sollen Unternehmen dabei helfen, sich besser gegen zukünftige Ransomware-Angriffe zu schützen. Die Forscher empfehlen Unternehmen auch, den Unit 42 Ransomware Threat Report 2021 zu lesen, um weitere Einblicke in REvil und andere Ransomware-Betreiber zu erhalten.
Ransomware-as-a-Service
REvil ist einer der bekanntesten Anbieter von Ransomware as a Service (RaaS). Diese kriminelle Gruppe bietet anpassungsfähige Ver- und Entschlüsselungsprogramme, Infrastruktur und Dienste für die Verhandlungskommunikation sowie eine Leak-Site zur Veröffentlichung gestohlener Daten, wenn die Opfer die Lösegeldforderung nicht bezahlen. Für diese Dienste nimmt REvil einen Prozentsatz des ausgehandelten Lösegeldpreises als Gebühr in Ansprich. Affiliates von REvil verwenden oft zwei Ansätze, um Opfer zur Zahlung zu bewegen: Sie verschlüsseln Daten, so dass Unternehmen nicht auf Informationen zugreifen, kritische Computersysteme nicht verwenden oder von Backups wiederherstellen können. Sie stehlen auch Daten und drohen damit, sie auf einer Leak-Site zu veröffentlichen (eine Taktik, die als „Double Extortion“, also doppelte Erpressung bekannt ist).
Bedrohungsakteure, die hinter den REvil-Operationen stehen, inszenieren und exfiltrieren oft Daten, gefolgt von einer Verschlüsselung der Umgebung als Teil ihres doppelten Erpressungsschemas. Wenn das Opfer nicht zahlt, veröffentlichen REvil-Bedrohungsakteure in der Regel die exfiltrierten Informationen. Die Forscher haben beobachtet, dass Bedrohungsakteure, die Kunden von REvil sind, sich auf Angriffe auf große Unternehmen konzentrieren, was es ihnen ermöglicht hat, immer größere Lösegelder zu erhalten. In den beobachteten Fällen haben REvil und seine Partner in den ersten sechs Monaten des Jahres 2021 durchschnittlich etwa 2,25 Millionen US-Dollar erbeutet. Die Höhe der Lösegelder hängt von der Größe des Unternehmens und der Art der gestohlenen Daten ab. Außerdem verdoppeln die Angreifer oft die Forderung, wenn die Opfer die Fristen für die Zahlung per Bitcoin nicht einhalten. Schließlich stellen sie die gestohlenen Daten auf der Leak-Site ein, wenn das Opfer nicht zahlt oder sich auf Verhandlungen einlässt.
Trends im Jahr 2021 – Etwas Altes, etwas Neues
Unit 42 hat in diesem Jahr bisher mehr als ein Dutzend REvil-Ransomware-Fälle bearbeitet. Während einige der in unserem Unit 42 Ransomware Threat Report 2021 genannten Taktiken gleich geblieben sind, haben die Forscher auch einige Abweichungen vom Standard-Angriffslebenszyklus von REvil festgestellt. Für eine schnelle Referenz haben die Forscher auch Actionable Threat Objects and Mitigations (ATOMs) erstellt, um die Taktiken, Techniken, Verfahren und andere Indikatoren für eine Kompromittierung (IOCs) von REvil darzustellen.
Wie sich REvil-Angreifer den Zugang verschaffen
REvil-Bedrohungsakteure verwenden weiterhin zuvor kompromittierte Zugangsdaten, um über das Remote Desktop Protocol (RDP) aus der Ferne auf externe Ressourcen zuzugreifen. Eine weitere häufig beobachtete Taktik ist Phishing, das zu einer sekundären Nutzlast führt. Die Forscher haben jedoch auch einige einzigartige Vektoren beobachtet, die sich auf die jüngsten Microsoft Exchange Server CVEs beziehen, sowie einen Fall, bei dem eine SonicWall kompromittiert wurde.
Wie REvil-Angreifer ihre Präsenz in einer Umgebung etablieren
Sobald sie sich Zugang verschafft haben, nutzen REvil-Bedrohungsakteure in der Regel Cobalt Strike BEACON, um ihre Präsenz in einer Umgebung aufzubauen. In mehreren Fällen verwendeten sie die Fernverbindungssoftware ScreenConnect und AnyDesk. In anderen Fällen erstellten sie ihre eigenen lokalen und Domain-Konten, die sie der Gruppe „Remote Desktop Users“ hinzufügten. Außerdem deaktivierten die Bedrohungsakteure häufig Antiviren- und Sicherheitsdienste sowie Prozesse, die ihre Anwesenheit in der Umgebung stören oder anderweitig aufdecken würden.
Wie REvil-Angreifer den Zugriff ausweiten und Informationen sammeln
In den meisten Fällen müssen sich REvil-Akteure Zugang zu zusätzlichen Konten verschaffen, die über eine breitere Palette von Berechtigungen verfügen, um sich weiter in der Umgebung des Opfers zu bewegen und ihre Mission auszuführen. Sie verwenden häufig Mimikatz, um auf zwischengespeicherte Zugangsdaten auf dem lokalen Host zuzugreifen. Unit 42 beobachtete jedoch auch das SysInternals-Tool procdump als Mittel, um den LSASS-Prozess zu dumpen. Unit 42 stellte außerdem fest, dass dieser Bedrohungsakteur häufig auf Dateien mit dem Namen „password“ im Dateinamen zugreift. In einem Fall beobachteten die Forscher einen Versuch, Zugriff auf einen KeePass-Passwort-Safe zu erhalten.
Während der Erkundungsphase von Angriffen verwenden REvil-Bedrohungsakteure häufig verschiedene Open-Source-Tools, um Informationen über die Umgebung des Opfers zu sammeln, und greifen in einigen Fällen auf die administrativen Befehle NETSTAT und IPCONFIG zurück, um Informationen zu sammeln.
Wie sich REvil-Angreifer seitlich in kompromittierten Umgebungen bewegen
Im Allgemeinen verwenden REvil-Bedrohungsakteure Cobalt Strike BEACON und RDP mit zuvor kompromittierten Zugangsdaten, um sich seitlich in kompromittierten Umgebungen zu bewegen. Zusätzlich beobachtete Unit 42 die Verwendung der ScreenConnect- und AnyDesk-Software als Methoden der lateralen Bewegung. Während die Forscher gesehen haben, dass andere Ransomware-Gruppen diese Taktiken anwenden, haben sie beobachtet, dass REvil-Bedrohungsakteure diese Binärdateien von File-Sharing-Seiten wie MEGASync und PixelDrain abrufen.
Wie REvil-Angreifer ihre Ziele erreichen
Schließlich beobachtete Unit 42, dass REvil-Bedrohungsakteure zur letzten Phase ihres Angriffs übergingen, indem sie Netzwerke verschlüsselten, Daten bereitstellten und exfiltrierten sowie Daten zerstörten, um eine Wiederherstellung zu verhindern und die Analyse zu erschweren.
REvil-Bedrohungsakteure setzten die Ransomware-Verschlüsselungsprogramme in der Regel mit dem legitimen Verwaltungstool PsExec ein. Dabei nutzten sie eine Textdateiliste mit Computernamen oder IP-Adressen des Opfernetzwerks, die sie in der Erkundungsphase erhalten hatten. In einem Fall nutzte ein REvil-Bedrohungsakteur BITS-Aufträge, um die Ransomware aus seiner Infrastruktur abzurufen. In einem anderen Fall hostete der REvil-Bedrohungsakteur seine Malware auf MEGASync. REvil-Bedrohungsakteure meldeten sich auch einzeln mit Domain-Konten bei Hosts an und führten die Ransomware manuell aus. In zwei Fällen nutzten die REvil-Bedrohungsakteure das Programm dontsleep.exe, um Hosts während der Ransomware-Bereitstellung eingeschaltet zu halten. REvil-Bedrohungsakteure verschlüsselten die Umgebung oft innerhalb von sieben Tagen nach der ersten Kompromittierung. In einigen Fällen warteten die Bedrohungsakteur jedoch bis zu 23 Tage. Sie verwendeten häufig die MEGASync-Software oder navigierten zur MEGASync-Website, um archivierte Daten zu exfiltrieren. In einem Fall verwendeten sie RCLONE, um Daten zu exfiltrieren.
Verteidigungsmanöver
Während der Verschlüsselungsphase dieser Angriffe nutzten die REvil-Angreifer Batch-Scripts und wevtutil.exe, um 103 verschiedene Ereignisprotokolle zu löschen. Darüber hinaus löschten sie, was heutzutage keine ungewöhnliche Taktik ist, Volume-Schattenkopien (Volume Shadow Copy Service in Windows Service) in einem offensichtlichen Versuch, die Wiederherstellung von forensischen Beweisen zu verhindern.
Schlussfolgerung: Sicherheitsstrategie weiterentwickeln
Auch wenn die REvil-Bedrohungsgruppe auf große Unternehmen abzielt, sind alle Unternehmensgrößen potenziell anfällig für Angriffe. Da wir uns einer Post-COVID-19-Umgebung nähern, sollten sich die IT-Abteilung und Netzwerkverteidiger die Zeit nehmen, um zu lernen, was in ihren Umgebungen normal ist, und Anomalien bemerken und hinterfragen. Ebenso gilt es die Verteidigungsmaßnahmen zu hinterfragen. Müssen alle Benutzer in der Lage sein, makroaktivierte Dokumente zu öffnen? Verfügt das Unternehmen über Endpunktsichtbarkeit und Schutzmaßnahmen, die zumindest vor Sekundärinfektionen wie QakBot warnen? Wenn Unternehmen unbedingt RDP benötigen, verwenden sie dann tokenisierte Multi-Faktor-Authentifizierung? Sicherheitsverantwortliche sollten diese Aspekte nicht nur einmal, sondern routinemäßig hinterfragen. Sie sollten denken wie die Angreifer. So können sie vielleicht verhindern, dass ihr Unternehmen das nächste Opfer wird und aufgrund falscher Entscheidungen in die Schlagzeilen gerät.
