REvil: Einblicke in Ransomware-as-a-Service
Tools und Vorgehensweisen von REvil-«Anwendern»
Im Report beschreiben die Forscher aus den SophosLabs und dem Sophos Rapid Response Team die Tools und Verhaltensweisen, die Angreifer aus ihrer Sicht am häufigsten einsetzen, um einen REvil-Angriff zu implementieren.
Zu den von Sophos beobachteten REvil-Ransomware-Angriffswerkzeugen und -Verhaltensweisen gehören:
- Brute-Force-Attacken gegen bekannte Internetdienste wie VPN, Remote-Desktop-Protokolle (RDP), Desktop-Remote-Management-Tools wie VNC und sogar einige Cloud-basierte Managementsysteme; Missbrauch von Zugangsdaten, die durch Malware oder Phishing erlangt wurden, oder einfach durch Hinzufügen zu anderer Malware, die sich bereits im Netzwerk des Ziels befindet
- Credential Harvesting und Privilegienerweiterung mithilfe von Mimikatz, um die Anmeldedaten eines Domain-Administrators zu erhalten
- Schaffung der Voraussetzungen für die Freisetzung der Ransomware durch Deaktivieren oder Löschen von Backups, den Versuch, Sicherheitstechnologien zu deaktivieren und Zielcomputer für die Verschlüsselung zu identifizieren
- Hochladen grosser Datenmengen zur Exfiltration - obwohl Sophos-Forscher dies nur in etwa der Hälfte der untersuchten REvil/Sodonokibi-Vorfälle gesehen haben. In Fällen, die Datendiebstahl beinhalteten, verwendeten etwa Dreiviertel Mega.nz als (temporären) Speicherort für die gestohlenen Daten
- Neustart des Computers in den abgesicherten Modus vor der Datenverschlüsselung, um Endpunktschutz-Tools zu umgehen
Hartnäckigkeit und fremde Federn
Die Angreifer, die REvil-Ransomware einsetzen, können laut den Ergebnissen von Sophos Rapid Response sehr hartnäckig sein. In einem kürzlich vom Team untersuchten REvil-Angriff zeigten die von einem kompromittierten Server gesammelten Daten ca. 35'000 fehlgeschlagene Anmeldeversuche über einen Zeitraum von fünf Minuten, die von 349 eindeutigen IP-Adressen aus der ganzen Welt stammten.
In mindestens zwei REvil-Attacken, die von Sophos-Forschern beobachtet wurden, war der ursprüngliche Zugangspunkt zudem ein Tool, das von einem früheren Ransomware-Angriff eines anderen Angreifers zurückgelassen wurde.