Snake Ransomware
Snake Ransomware: Maschinenidentitäten als ungewollte Einfallstore
Von Kevin Bocek, VP Ecosystem & Community bei Venafi
Nach dem mehr Informationen, über die vom US-Justizministerium zu Beginn des Monats aufgedeckte Snake Ransomware veröffentlicht werden, scheinen die Cyberkriminellen in eine Falle geraten zu sein.
Sie haben nämlich die Grundlagen des Maschinenidentitätsmanagements vernachlässigt. Das CISA Advisory veröffentlichte einen Bericht , der darauf schließen lässt, dass die OpenSSL-Bibliothek, die die Gruppe für den Diffie-Hellman-Schlüsselaustausch genutzt hat, eine erhebliche Schwachstelle aufwies. Der während des Austauschs generierte Schlüsselsatz von Snake verwendete eine völlig unzureichende Primzahl-Länge von nur 128 Bit. Das hat diesen Prozess für asymmetrische Schlüsselsysteme völlig unsicher und angreifbar für die heutigen Machine-to-Machine-Operationen, egal ob bei Malware oder bei Transaktionen, gemacht. Darüber hinaus haben die Anwender bei der überstürzten Bereitstellung von Snake versäumt, bestimmte Komponenten zu entfernen, wodurch versehentlich Funktionsnamen, Klartext-Strings und Entwicklerkommentare offengelegt wurden.
Dies zeigt erneut, wie schwierig es ist, Maschinenidentitäten manuell richtig zu verwalten – sowohl für Entwickler als auch für Sicherheitsteams. Selbst erfahrene Angreifer machen offensichtlich Fehler. In diesem Fall haben die Entwickler der Malware eine Konfiguration nicht richtig vorgenommen. Die Maschinenidentitäten konnten so offengelegt werden, so dass die Kommunikation nicht mehr privat oder sogar für einen anderen Angreifer offen ist und aufzeigen wer die Betreiber von Snake sind. Im besten Fall hätte dies die gesamte Kampagne unbrauchbar machen, im schlimmsten Fall hätten die Snake-Entwickler von anderen Cyberkriminellen selbst angegriffen werden können.
Die Lektion lautet: Das Identitätsmanagement von Maschinen erfordert eine enge Zusammenarbeit von Entwicklern, Betriebs- und Sicherheitsteams. In einer Welt, in der Maschinen Transaktionen durchführen, schützen und angreifen, wird das Management der Maschinenidentität immer wichtiger.
