RaaS 15.06.2021, 15:42 Uhr

REvil: Einblicke in Ransomware-as-a-Service

Wer mit cyberkriminellen Absichten Firmen oder Private hacken möchte, um etwa mit Hilfe von Ransomware Geld zu erpressen, muss kein technisches Know-how mehr haben. Denn Ransomware lässt sich auch als Service beziehen.
Ransomware kann mittlerweile als Service gemietet werden, wie das Beispiel REvil zeigt
(Quelle: Pete Linforth, Thedigitalartist/Pixabay)
Attacken mit Verschlüsselungstrojanern, so genannter Ransomware, gehören schon länger zum Cybercrime-Alltag. Sie zählen auch zu den Vorfällen mit dem grössten Schadenspotential, da die Cyberkriminellen verschlüsselte Daten selbst gegen Zahlung von Lösegeld (wovor Behörden und IT-Security-Spezialisten abraten) nicht dechiffrieren.
Betroffen sind oft kleine und mittlere Unternehmen (KMU), wie das nationalen Zentrum für Cybersicherheit (NCSC) im neusten Halbjahresbericht betont (Computerworld berichtete). So sind  in der zweiten Jahreshälfte 2020 beim NCSC 34 Meldungen zu Ransomware aus verschiedenen Wirtschaftssektoren in der Schweiz eingegangen. Rund 80 Prozent der Meldungen betrafen KMU.
Die Anzahl Attacken könnte zunehmen, denn mittlerweile bieten Cyberkriminelle Ransomware auch als Dienstleistung an. Jüngstes Beispiel ist die Ransomware-as-a-Service (RaaS) REvil, welche auch in der Schweiz virulent ist. Immerhin kommt REvil in der Malware-Top-ten von Check Point im Mai auf Platz neun.

Sophos-Forscher analysieren REvil

Die Forscher des Cybersecurity-Spezialisten Sophos haben sich eingehend mit den Taktiken, Techniken und Verfahren von REvil-Angreifern beschäftigt und dies im Bericht «Relentless REvil, Revealed: RaaS As Variable As the Criminals Who Use It» dargelegt. Sie gewähren dabei einen Blick unter die Haube der REvil-Ransomware, von ihrer Zusammensetzung bis hin zu ihrem Verhalten bei der Ausführung.
REvil, auch bekannt als Sodinokibi, ist demnach ein ausgereiftes und weit verbreitetes RaaS-Angebot. Kriminelle «Kunden» können die Ransomware von den Entwicklern leasen und mit eigenen Parametern versehen auf den Computern ihrer Opfer platzieren. Der jeweilige Ansatz und die Auswirkungen eines Angriffs mit REvil-Ransomware sind somit sehr variabel und hängen von den Tools, Verhaltensweisen, Ressourcen und Fähigkeiten des Angreifers ab, der die Malware mietet.
«Für eine gewöhnliche, alltägliche Ransomware, die es erst seit ein paar Jahren gibt, schafft es REvil/Sodinokibi bereits, beträchtlichen Schaden anzurichten und Lösegeldzahlungen in Höhe von mehreren Millionen Dollar zu fordern», berichtet Andrew Brandt, Principal Researcher bei Sophos. «Der Erfolg von REvil/Sodinokibi könnte zum Teil auf die Tatsache zurückzuführen sein, dass als Ransomware-as-a-Service-Angebot jeder Angriff anders ist. Das kann es Verteidigern schwer machen, die Warnzeichen zu erkennen, auf die sie achten müssen», führt er weiter aus.

Tools und Vorgehensweisen von REvil-«Anwendern»

Im Report beschreiben die Forscher aus den SophosLabs und dem Sophos Rapid Response Team die Tools und Verhaltensweisen, die Angreifer aus ihrer Sicht am häufigsten einsetzen, um einen REvil-Angriff zu implementieren.
Zu den von Sophos beobachteten REvil-Ransomware-Angriffswerkzeugen und -Verhaltensweisen gehören:
  • Brute-Force-Attacken gegen bekannte Internetdienste wie VPN, Remote-Desktop-Protokolle (RDP), Desktop-Remote-Management-Tools wie VNC und sogar einige Cloud-basierte Managementsysteme; Missbrauch von Zugangsdaten, die durch Malware oder Phishing erlangt wurden, oder einfach durch Hinzufügen zu anderer Malware, die sich bereits im Netzwerk des Ziels befindet
  • Credential Harvesting und Privilegienerweiterung mithilfe von Mimikatz, um die Anmeldedaten eines Domain-Administrators zu erhalten
  • Schaffung der Voraussetzungen für die Freisetzung der Ransomware durch Deaktivieren oder Löschen von Backups, den Versuch, Sicherheitstechnologien zu deaktivieren und Zielcomputer für die Verschlüsselung zu identifizieren
  • Hochladen grosser Datenmengen zur Exfiltration - obwohl Sophos-Forscher dies nur in etwa der Hälfte der untersuchten REvil/Sodonokibi-Vorfälle gesehen haben. In Fällen, die Datendiebstahl beinhalteten, verwendeten etwa Dreiviertel Mega.nz als (temporären) Speicherort für die gestohlenen Daten
  • Neustart des Computers in den abgesicherten Modus vor der Datenverschlüsselung, um Endpunktschutz-Tools zu umgehen

Hartnäckigkeit und fremde Federn

Die Angreifer, die REvil-Ransomware einsetzen, können laut den Ergebnissen von Sophos Rapid Response sehr hartnäckig sein. In einem kürzlich vom Team untersuchten REvil-Angriff zeigten die von einem kompromittierten Server gesammelten Daten ca. 35'000 fehlgeschlagene Anmeldeversuche über einen Zeitraum von fünf Minuten, die von 349 eindeutigen IP-Adressen aus der ganzen Welt stammten. 
In mindestens zwei REvil-Attacken, die von Sophos-Forschern beobachtet wurden, war der ursprüngliche Zugangspunkt zudem ein Tool, das von einem früheren Ransomware-Angriff eines anderen Angreifers zurückgelassen wurde.



Das könnte Sie auch interessieren