Selbstreplizierender Wurm
Selbstreplizierender Wurm und zunehmend aktive Ransomware
Palo Alto Networks liefert Erkenntnisse zum P2PInfect-Wurm und der Mallox-Ransomware
Forschungsteam Unit 42 von Palo Alto Networks veröffentlicht detaillierte Berichte zu zwei aktuellen Bedrohungen
Unit 42, das Forschungsteam von Palo Alto Networks, hat einen Forschungsbericht zu einem neuen Peer-to-Peer (P2P)-Wurm veröffentlicht, der die Cloud ins Visier nimmt und den Namen P2PInfect erhielt. Dieser Wurm zielt auf verwundbare Redis-Systeme mit containerwirksamen Exploits. Zeitgleich hat Unit 42 auch einen Bericht über die Ransomware Mallox veröffentlicht. Die Forscher beobachteten einen Anstieg der Aktivitäten um fast 50 Prozent, wobei MS-SQL-Server zur Verbreitung der Ransomware ausgenutzt wurden.
P2PInfect – ein selbstreplizierender Peer-to-Peer-Wurm
Am 11. Juli 2023 entdeckten die Cloud-Forscher von Unit 42 einen neuen Peer-to-Peer (P2P)-Wurm, den sie P2PInfect nannten. Dieser – in der hoch skalierbaren und Cloud-freundlichen Programmiersprache Rust geschriebene – Wurm ist in der Lage, sich plattformübergreifend zu infizieren. Er zielt auf Redis ab, eine beliebte Open-Source-Datenbankanwendung, die in Cloud-Umgebungen häufig zum Einsatz kommt. Redis-Instanzen können sowohl auf Linux- als auch auf Windows-Betriebssystemen ausgeführt werden. Die Forscher von Unit 42 haben über 307.000 Redis-Systeme identifiziert, die in den letzten zwei Wochen öffentlich kommuniziert haben, von denen 934 möglicherweise für diese P2P-Wurmvariante anfällig sind. Auch wenn nicht alle der 307.000 Redis-Instanzen anfällig sind, wird der Wurm dennoch diese Systeme angreifen und versuchen, sie zu kompromittieren.
Der P2PInfect-Wurm infiziert anfällige Redis-Instanzen, indem er die Lua-Sandbox-Escape-Schwachstelle (CVE-2022-0543) ausnutzt. Dies macht den P2PInfect-Wurm effektiver für den Betrieb und die Verbreitung in Cloud-Container-Umgebungen. Hier entdeckten die Forscher von Unit 42 den Wurm, indem er eine Redis-Container-Instanz in ihrer HoneyCloud-Umgebung kompromittierte.
Dabei handelt es sich um eine Reihe von Honeypots, die dazu dienen, neuartige Cloud-basierte Angriffe in Public-Cloud-Umgebungen zu identifizieren und zu untersuchen. Die Schwachstelle wurde zwar 2022 bekannt gegeben, ihr Umfang ist aber noch nicht vollständig bekannt. Sie ist jedoch in der NIST National Vulnerability Database mit einem kritischen CVSS-Wert von 10,0 eingestuft. Die Tatsache, dass P2PInfect Redis-Server ausnutzt, die sowohl auf Linux- als auch auf Windows-Betriebssystemen laufen, macht ihn außerdem skalierbarer und effektiver als andere Würmer. Der von den Forschern beobachtete P2P-Wurm dient als Beispiel für einen ernsthaften Angriff, der unter Ausnutzung dieser Schwachstelle möglich wäre.
P2PInfect nutzt die Sicherheitslücke CVE-2022-0543 für den ersten Zugriff aus und legt dann eine erste Nutzlast ab, die eine P2P-Kommunikation mit einem größeren P2P-Netzwerk herstellt. Sobald die P2P-Verbindung hergestellt ist, zieht der Wurm zusätzliche bösartige Binärdateien wie betriebssystemspezifische Skripte und Scan-Software herunter. Die infizierte Instanz tritt dann dem P2P-Netzwerk bei, um zukünftigen kompromittierten Redis-Instanzen Zugang zu den anderen Nutzlasten zu verschaffen.
Unit 42 geht davon aus, dass diese P2PInfect-Kampagne die erste Stufe eines potenziell umfassenderen Angriffs ist, der dieses robuste P2P-C2-Netzwerk nutzt. Das Wort „Miner“ kommt im bösartigen Toolkit von P2PInfect mehrfach vor. Die Forscher fanden jedoch keine eindeutigen Beweise dafür, dass jemals Cryptomining-Operationen durchgeführt wurden. Darüber hinaus scheint das P2P-Netzwerk über mehrere C2-Funktionen zu verfügen, wie z. B. „Auto-Updating“, die es den Kontrolleuren des P2P-Netzwerks ermöglichen, neue Nutzdaten in das Netzwerk einzuschleusen, die die Leistung aller bösartigen Operationen verändern und verbessern könnten. Die Forscher von Unit 42 werden weiterhin nach Änderungen Ausschau halten und ihre Berichterstattung entsprechend aktualisieren.
Deutlicher Anstieg der Aktivitäten des Ransomware-Stamms Mallox
Mallox, auch bekannt als TargetCompany, Fargo und Tohnichi, ist ein Ransomware-Stamm, der auf Microsoft (MS) Windows-Systeme abzielt. Er ist seit Juni 2021 aktiv und zeichnet sich dadurch aus, dass er unsichere MS-SQL-Server als Penetrationsvektor ausnutzt, um die Netzwerke der Opfer zu kompromittieren.
In jüngster Zeit haben die Forscher von Unit 42 einen Anstieg der Mallox-Ransomware-Aktivitäten beobachtet. Seit Anfang 2023 haben die Aktivitäten von Mallox ständig zugenommen. Den Telemetriedaten und Daten aus offenen Informationsquellen zufolge ist die Zahl der Mallox-Angriffe im Jahr 2023 im Vergleich zu 2022 um 174 Prozent gestiegen. Die Mallox-Ransomware-Gruppe beansprucht Hunderte von Opfern für sich. Die tatsächliche Zahl der Opfer ist zwar nicht bekannt, aber die Telemetriedaten von Unit 42 deuten auf Dutzende von potenziellen Opfern weltweit hin, die sich auf verschiedene Branchen verteilen, darunter die verarbeitende Industrie, freiberufliche und juristische Dienstleistungen sowie der Groß- und Einzelhandel.
Die Angreifer nutzen MS-SQL-Server zur Verbreitung der Ransomware aus. Unit 42 hat beobachtet, dass Mallox-Ransomware Brute-Forcing, Datenexfiltration und Tools wie Netzwerkscanner einsetzt. Darüber hinaus haben sie Hinweise darauf gefunden, dass die Gruppe an der Ausweitung ihrer Operationen arbeitet und in Hackerforen Partner rekrutiert.
Mallox Ransomware folgt wie viele andere Ransomware-Gruppen dem Trend der doppelten Erpressung: Die Angreifer stehlen Daten, verschlüsseln die Dateien und drohen damit, die gestohlenen Daten auf einer Leak-Website zu veröffentlichen, um die Opfer zur Zahlung des Lösegelds zu bewegen. Jedes Opfer erhält einen privaten Schlüssel, um via Tor-Browser mit der Gruppe zu kommunizieren und die Bedingungen und die Zahlung auszuhandeln.
Seit ihrem Auftauchen im Jahr 2021 hat die Mallox-Gruppe die gleiche Vorgehensweise beibehalten, um sich einen ersten Zugang zu verschaffen: Die Gruppe zielt auf unsichere MS-SQL-Server ab, um ein Netzwerk zu infiltrieren. Diese Angriffe beginnen mit einer Brute-Force-Attacke mit einem Wörterbuch, bei der eine Liste bekannter oder häufig verwendeter Passwörter gegen die MS-SQL-Server ausprobiert wird. Nachdem sie sich Zugang verschafft haben, verwenden die Angreifer die Befehlszeile und PowerShell, um die Mallox-Ransomware-Nutzlast von einem Remote-Server herunterzuladen.
Unternehmen sollten bewährte Sicherheitspraktiken anwenden und darauf vorbereitet sein, sich gegen die ständige Bedrohung durch Ransomware zu schützen. Dies gilt nicht nur für Mallox-Ransomware, sondern auch für andere opportunistische kriminelle Gruppen. Unit 42 empfiehlt, dafür zu sorgen, dass alle Anwendungen, die mit dem Internet verbunden sind, ordnungsgemäß konfiguriert sind sowie alle Systeme gepatcht und auf dem neuesten Stand sind. Diese Maßnahmen tragen dazu bei, die Angriffsfläche zu verkleinern und damit die den Angreifern zur Verfügung stehenden Techniken einzuschränken.
Die Forscher empfehlen den Einsatz einer XDR/EDR-Lösung, um eine In-Memory-Inspektion durchzuführen und Techniken zur Prozessinjektion zu erkennen. Mittels einer Bedrohungssuche können Unternehmen nach Anzeichen für ungewöhnliches Verhalten im Zusammenhang mit der Umgehung von Sicherheitsprodukten, Dienstkonten für laterale Bewegungen und Benutzerverhalten im Zusammenhang mit Domainadministratoren suchen.