Ransomware Operations Part 2 - Vorgehen und Verfahren

Ransomware hat sich 2020 als extrem erfolgreiches Businessmodell für Cybercrime erwiesen.

Wir wollen in einer 3-teiligen Artikelserie das Thema etwas näher beleuchten und dabei auf Hintergründe, Operationsverfahren und potentielle Schutzmöglichkeiten eingehen. Fokus ist dabei IT-Infrastruktur.


Teil 2: Ransomware-Operations: Vorgehen und Verfahren

Die extreme Zunahme der Ransomware-Aktivitäten geht einher mit einer Verschiebung beim "Initial Acess", also dem ersten Zugang oder Fuß in der Tür in die betroffenen Unternehmensnetze.

Im Jahr 2019 hat der Trojaner "Emotet" bei dem Vorfall am Berliner Kammergericht für Schlagzeilen gesorgt; diese Art von Schadsoftware wird meist per Email versandt, benötigt die Interaktion eines Benutzers, und lässt sich mit dem Schuß aus einer Schrotflinte in einen Entenschwarm vergleichen: wenn man Glück hat ist irgendwas getroffen, man weiß aber nie genau, was man trifft.

Diese Situation hat sich im 1. Halbjahr 2020 innert kurzer Zeit geändert. Wir haben im April 2020 schon bemerkt, dass sich Ransomware-Gangs mehr und mehr auf den direkten Netzzugang durch Sicherheitslücken fokussieren, zumal gerade in diesem Zeitraum über 40 kritische Vulnerabilities in Produkten und Appliances publiziert wurden, die vornehmlich in Unternehmensnetzen Einsatz finden (VPN-Gateways, Firewalls, VMware-Management, Automation and Orchestration-Lösungen etc. pp) und bei Exploitation direkten Zugang in das entsprechende Unternehmensnetz gewährten:

Im folgenden beleuchten wir etwas genauer die einzelnen Phasen einer erfolgreichen Ransomware-Attacke

Phase 1 + 2: - "Inital Access" / Zugang legen , Persistenz

Inital Access - Vektoren

Das Ziel der ersten Phase eines Angriffs ist es, überhaupt erst einmal Zugang zu einem Unternehmensnetz zu erhalten.

Wie oben erwähnt, haben sich die initialen Angriffsvektoren hierfür vom Trojaner-Versand via Email auf den Zugang via RDP oder direktes Ausnutzen von Sicherheitslücken in der IT-Infrastruktur verlagert. Spezialisiert auf den "Initial Access" haben sich sogenannte "Access Broker", die das Internet kontinuierlich nach Schwachstellen scannen oder via RDP-BruteForce an Zugangsdaten gelangen.

Rops-2 // src

Rops-3 // src

Attack-Vectors by Top 3 Gangs // src

Bestätigt wird dieser Trend durch eine Analyse der NSA as dem Q3/2021, in dem aufgezeigt wurde, auf welche Wege sich Angreifer Zugriff auf Netze zwecks Datenklau und/oder Ransomware verchafft haben.

Attack-Vectors, analyzed // src

In der 2. Phase wird dafür gesorgt, dass der langfristige Zugang zum Unternehmensnetz gewährt bleibt (Persistenz); dies kann auf unterschiedliche Wege geschehen:

  • Anlegen von weiteren privilegierten Accounts (Privilege Escalation)
  • Implantieren von Backdoors oder Webshells

Gerade der letzte Fall hat bei der Exchange-Lücke aus dem März 2021 gezeigt, wie schnell die Access-Broker agieren: innerhalb von 3 Tagen nach dem Release des Advisories waren auf einer Großzahl von Systemen Backdoors zu finden.

src

Phase 3: - Verkauf an Ransomware-Gangs

Verkauf der Zugänge

Im Phase 3 wird der mit Persistenz versehene Zugang in speziellen Darknet-Foren verkauft.

Aufgrund der Vielzahl an Sicherheitslücken und der explosionsartig gestiegenen Nachfrage stehen jederzeit hunderte Systeme zur Auswahl; der UAS-Market, auf dem RDP- und VPN-Zugänge gehandelt werden, listed für die Jahre 2019 + 2020 1.3 Mio Accounts zu vorwiegend Firmennetzen, die dort gehandelt wurden.

Initial-Access-Market / src

Broker-Ad in einem Darkent-Forum / src

UAS-RDP-Darkent-Forum / src

Phase 4: - Ausleiten der Daten (Data-Exfil)

Daten kopieren

Nachdem der persistente Zugang zum Unternehmensnetz vom Access-Broker an eine Ransomware-Gang verkauft wurde, kann diese zu einem späteren Zeitpunkt auf das Unternehmensnetz zugreifen und den Zugang "monetarisieren".

Die Zeitspanne zwischen dem "Initial Access" und der eigentlichen Ransomware-Operation beträgt im Schnitt 3-6 Monate, kann aber in ausgewählten Fällen auf wenige Wochen schrumpfen.

Wenn die Angreifer sich etwas im Unternehmensnetz umgesehen und die datentechnischen Krownjuwelen gefunden haben, werden diese kopiert und auf Systeme der Angreifer übertragen.

Diese Methode hat sich im Laufe des Jahres 2020 etabliert. Die betroffenen Unternehmen werden neben der eigentlichen Verschlüsselung zusätzlich damit erpresst werden, dass so erbeutete, sensitive Daten veröffentlicht werden.

Dieser Zwischenschritt wurde eingefügt, um einen Hebel gegen Unternehmen zu haben, die ihre Daten und Systeme aus Backups wiederherstellen können und nicht auf die Erpressung reagieren.

Leak-Blog / src

Phase 5 + 6: Verschlüsselung und Erpressung

Daten kopieren

Im finalen Phase werden die Unternehmensdaten und teilweise auch komplette Systeme verschlüsselt, was häufig zu einem sofortigen Systemstillstand führt. Gleichzeitig wird dem Unternehmen die Erpressungsnachricht zugeleitet, oder diese werden von den infizierten Systemen selber angezeigt.

Ransomware goes ESXi // src

Ransom-Nachricht

Sollte das Unternehmen nicht innerhalb einer gesetzten Frist auf die Erspressungsnachricht reagieren und Kontakt aufnehmen (meist 3-7 Tage), veröffentlicht die Ransomware-Gang auf ihrem Blog mindestens eine Nachricht, dass das Unternehmen erfolgreich angegriffen wurde, meist auch einen Auszug der erbeuteten Daten, um den Druck auf das Unternehmen zu erhöhen.

Diese Leak-Blogs, die mittlerweile Standard in der Ransomware-Szene sind (siehe auch hier ) kann man nur über das TOR-Netzwerk erreichen.

Eine alternative Zweitverwertung ist die Versteigerung der Unternehmensdaten.

Die eigentlichen Verhandlungen finden über anonyme Chats statt. Hierbei gehen die meisten Gangs methodisch vor, da sie vor allem ein Ziel haben: mit diesem Kunden Geld zu verdienen und mit dem nächsten auch. Sollten die Verhandlungen nicht innerhalb einer Woche zum Erfolg führen, oder das betroffene Unternehmen weder Willens noch in der Lage sein, die geforderte Summe aufzubringen, werden diese abgebrochen und die Unternehmensdaten wie angedroht veröffentlicht. Bei erfolgreicher Verhandlung bekommt das Unternehmen den passenden Decryptor, um den regulären Betrieb wieder herzustellen. Die illegalerweise kopierten Dateien werden auf Seiten der Erpresser gelöscht.

Dieser letzte Schritt, das Löschen der Dateien, geschieht natürlich auf Vertrauensbasis. Bisher sind aber noch keine Vorfälle bei den größeren Ransomware-Gangs bekannt, dass die kopierten Daten an anderer Stelle auftauchten. Solche Fälle mögen bei kleineren und unbekannteren Gangs möglich sein, genauso wie nicht funktionierende Decryptoren, sind aber eher nicht zu erwarten, da die Ransomware-Gangs ansonsten erfolgreiches Businessmodell torpedieren würden.

Erpressung

Dass die meisten Ransomware-Gangs mittlerweile hochprofessionell agieren, zeigen nicht nur die getsiegenen Umsätze, sondern auch die folgende Übersicht über jeweils beobachtete Methoden, basierend auf der MITRE ATT&CK - Matrix.

Wer darüber hinaus Interesse an Interna hat, dem seien mehrere Artikel empfohlen, die detaillierten Einblick in die Szene geben:

Operations matched to MITRA ATT&CK // src

<< zurück zu Teil 1 [ ~ ] >> weiter zu Teil 3

Referenzen





Fragen? Kontakt: info@zero.bs