Eine Ransomware-Bande, die auf Rufschädigung aus ist

Ransom Cartel, eine Ransomware-as-a-Service (RaaS)-Gruppierung, hat ihre Angriffe im vergangenen Jahr verstärkt, nachdem sich bekannte Banden wie REvil und Conti aufgelöst hatten. Die Cyberkriminellen treiben seit Ende 2021 ihr Unwesen und setzen ähnlich aggressive Malware und Taktiken wie REvil ein. Der Fokus liegt dabei auf Unternehmen aus den Bereichen Bildung, Fertigung, Versorgung und Energie.

Die RaaS-Gang wendet eine doppelte Erpressung an, indem sie Datenverschlüsselung mit Datendiebstahl und anschließenden Drohungen,gestohlene Informationen auf ihrer Datenleck-Website zu veröffentlichen, kombiniert. Zudem drohen die Hacker, sensible Informationen an Partner und Konkurrenten des Opfers sowie an Nachrichtenagenturen zu senden, um den Ruf des gehackten Unternehmens so stark wie möglich zu schädigen.

"Wir glauben, dass die Betreiber des Ransom Cartel Zugang zu früheren Versionen des REvil-Ransomware-Quellcodes hatten, nicht aber zu den aktuellsten Versionen", so Forscher von Palo Alto Networks in einer Analyse des Ransomware-Codes. "Dies deutet darauf hin, dass es eine Beziehung zwischen den Gruppen gab, auch wenn diese möglicherweise nicht mehr besteht."

Werkzeuge für den Erstzugang und laterale Bewegungen

Ransom-Cartel-Angreifer nutzen häufig gestohlene Daten, um sich einen ersten Zugang zu den Organisationen der Opfer zu verschaffen. Dazu gehören Anmeldedaten für verschiedene Dienste, die über das Internet, das Remote-Desktop-Protokoll (RDP), das Secure-Shell-Protokoll (SSH) und virtuelle private Netzwerke (VPNs) zugänglich sind. Komplizen der Gruppe - Hacker, die die Ransomware gegen einen hohen Anteil an den Lösegeldzahlungen verbreiten - beschaffen sich diese Zugangsdaten selbst oder erwerben sie von Initial Access Brokern im Dark Web.

"Initial Access Broker sind Akteure, die den Verkauf von kompromittierten Netzwerkzugängen anbieten", so die Forscher von Palo Alto Networks. "Ihre Motivation ist es nicht, selbst Cyberangriffe auszuführen, sondern Zugangsdaten an andere Bedrohungsakteure zu verkaufen." Angesichts der hohen Rentabilität von Ransomware lohne sich diese Zusammenarbeit mit den RaaS-Banden. Die Broker machten mit ihren Daten gute Geschäfte, sagen die Security-Spezialisten.

Sobald die Angreifer in ein Unternehmensnetzwerk eingedrungen sind, zielen sie darauf ab, weitere Anmeldedaten zu stehlen und Zugang zu Windows- und Linux-VMWare ESXi-Servern zu erhalten, haben die Sicherheitsforscher festgestellt Laut Palo Alto verwendeten die Hacker dazu ein Open-Source-Tool namens DonPAPI, das über die Windows Data Protection API (DPAPI) gespeicherte Anmeldeinformationen ausfindig machen und auslesen kann.

DonPAPI durchsucht DPAPI-Blobs nach Anmeldeinformationen, die von Funktionen wie Windows Task Scheduler, Windows Vaults, Windows RDP, WiFi-Schlüsseln, AdConnect und mehr gespeichert werden. Es kann jedoch auch Zugangsdaten aus Internet Explorer, Chrome, Firefox, VNC und mRemoteNG extrahieren. Die in den Browsern gespeicherten Iformationen können auch Anmeldedaten enthalten, die für die Authentifizierung bei der VMware vCenter-Schnittstelle verwendet werden.

Zudem können sie für den Zugriff auf ESXi-Server genutzt werden. "Um das Risiko einer Erkennung durch Antivirenprogramme (AVs) oder Endpoint Detection and Response (EDR) zu vermeiden, lädt das Tool die Dateien herunter und entschlüsselt sie lokal", erklären die Palo-Alto-Experten.

Nach der Authentifizierung bei vCenter aktivieren die Angreifer SSH und erstellen neue Konten mit einer speziellen Benutzerkennung (UID). Auf diese Weise können sie die Sicherheitsprüfungen umgehen und dauerhaften Zugang zu den Servern erhalten.

Das auf Linux-Rechnern verwendete Dateiverschlüsselungsprogramm sucht speziell nach Dateien mit den Erweiterungen .log, .vmdk, .vmem, .vswp und .vmsn, die mit ESXi-Snapshots, Protokolldateien, Auslagerungsdateien, Paging-Dateien und virtuellen Festplatten verbunden sind.

Zu den anderen von Ransom Cartel verwendetenTools für das Abgreifen von Anmeldeinformationen zählen LaZagne und Mimikatz. Ein legitimes Programm namens PDQ Inventory, das bei IT-Administratoren sehr beliebt ist, wird von den Hackern verwendet, um das Netzwerk zu scannen und Informationen über Hardware-, Software- und Windows-Konfigurationen zu sammeln.

Darüber hinaus beobachteten die Forscher, dass Advanced Port Scanner und netscan.exe für Netzwerk-Scans, Putty für SSH-Verbindungen, AnyDesk für Remote-Desktop, das Cobalt Strike-Implantat für Command and Control und Rclone für die Datenexfiltration genutzt wurde. Zudem wurde der PrintNightmare-Exploit (CVE-2021-1675, CVE-2021-34527 und CVE-2021-34481) zur Erweiterung von Nutzerprivilegien verwendet.

Code-Ähnlichkeiten mit REvil

Das Windows-Ransomware-Programm beinhaltet eine verschlüsselte Konfigurationsdatei, die den Curve25519-Donna-Schlüssel der Angreifer enthält. Dieser wird in der Verschlüsselungsroutine verwendet. Ferner findet sich darin eine Liste von Dateien, Ordnern und Erweiterungen, die nicht verschlüsselt werden sollen; eine Liste von Prozessen und Systemdiensten, die beendet werden sollen; und der Inhalt der Lösegeldforderung.

Die Liste der Prozesse umfasst Sicherungsdienste wie BackupExecVSSProvider, Veeam, Acronis, Datenbankdienste wie Microsoft Exchange und MSSQL, Sicherheitsprodukte wie Sophos, E-Mail-Clients und Browser und mehr.

Die Verschlüsselungsroutine umfasst die Generierung eines lokalen Curve25519-Schlüsselpaars und eines Sitzungsschlüsselpaars, bei dem der Private Key mit dem Public Key des Angreifers gepaart wird. Dieser wird dann als Teil der Ransomware-Konfiguration verteilt und mit SHA3 gehasht. Der Hash wird als Key für die AES-Verschlüsselung verwendet. Zudem werden weitere Sitzungsschlüssel generiert, mit einem public-private Schlüsselpaar für jede Datei, die schließlich mit dem Salsa20-Algorithmus verschlüsselt wird.

"Diese Methode zur Erzeugung von Sitzungsgeheimnissen wurde von Forschern bei Amossys bereits im Jahr 2020 dokumentiert; ihre Analyse konzentrierte sich jedoch auf eine aktualisierte Version der Sodinokibi/REvil-Ransomware, was auf eine direkte Überschneidung zwischen dem REvil-Quellcode und den neuesten Ransom Cartel-Samples hindeutet", so die Palo-Alto-Forscher.

Neben der starken Ähnlichkeit der Verschlüsselungs- und Schlüsselgenerierungsmethoden zwischen REvil und den Ransomware-Programmen von Ransom Cartel gibt es auch Überschneidungen in der Art und Weise, wie die verschlüsselte Konfiguration in der Ransomware-Binärdatei gespeichert und wie sie nach der Entschlüsselung formatiert wird. REvil hat jedoch mehr Einträge, die in der Konfiguration von Ransom Cartel fehlen, was darauf hindeuten könnte, dass die Hintermänner von Ransom Cartel entweder Funktionen entfernt haben oder nur Zugang zu einer früheren Variante von REvil hatten.

Die Lösegeldforderung ist der von Revil ähnlich

Eine weitere Ähnlichkeit: In frühen Varianten von Ransom Cartel war die Lösegeldforderung in Formatierung und Sprache fast identisch mit der von REvil. Der einzige Unterschied bestand in den Anweisungen für den Zugriff auf die Tor-Website, die für die Kommunikation mit den Opfern verwendet wird. Diese erfordert eine Authentifizierung mit einem eindeutigen, von der Ransomware für jedes Opfer generierten Schlüssel. Spätere Versionen, die im August 2022 beobachtet wurden, unterschieden sich deutlich in Vorgehen und Ansprache.

"Ein besonders interessanter Unterschied zwischen den beiden Malware-Familien ist, dass REvil seine Ransomware viel stärker verschleiert als die Ransom Cartel-Gruppe. REvil setzt String-Verschlüsselung, API-Hashing und mehr ein, während Ransom Cartel außerhalb der Konfiguration fast keine Verschleierung aufweist", so Palo Alto. Das deute darauf hin, dass die Gruppe möglicherweise nicht über die von REvil verwendete Verschleierungs-Engine verfügt.

Eine Verbindung zu REvil dürfte für die Betreiber von Ransom Cartel angesichts des Bekanntheitsgrads von REvil problematisch sein. Damit wäre es nicht verwunderlich, wenn die Bande absichtlich versucht, dies zu verbergen. REvil oder Sodinokibi, die zwischen 2019 und 2021 aktiv waren, gehörten zu den frühen Ransomware-Pionieren. Anstatt sich auf die automatische Infektion durch Routinen im Ransomware-Code zu verlassen, eigneten sie sich Techniken für laterale Bewegungen an, die bei Cyberspionage-Angriffen zum Einsatz kommen. Damit legten sie den Grundstein für die Taktiken, die die meisten Ransomware-Gruppen heute anwenden.

Gibt es eine Verbindung zwischen Ransom Cartel und REvil?

Der Einsatz solcher Techniken führte dazu, dass REvil sehr erfolgreich wurde. Der Erpresserbande ist es gelungen in eine Vielzahl von Organisationen einzubrechen, was schließlich die Aufmerksamkeit von Regierungen auf höchster Ebene auf sich zog. Im Juli 2021 nutzte ein REvil-Mitglied eine Zero-Day-Schwachstelle in einem IT-Management-Tool aus, das von Kaseya entwickelt wurde. Der Angriff ermöglichte es ihnen, mehr als 30 Managed Service Provider (MSPs) auf der ganzen Welt und mehr als 1.000 von diesen MSPs verwaltete Unternehmensnetzwerke zu kompromittieren. Der Vorfall führte zu einer Diskussion zwischen US-Präsident Joe Biden und dem russischen Präsidenten Wladimir Putin, wobei Biden die russischen Behörden aufforderte, härter gegen Ransomware-Gruppen vorzugehen.

Einige Monate später stellte REvil seine Tätigkeit ein und löste sich auf, möglicherweise nach einem harten Durchgreifen der russischen Strafverfolgungsbehörden. Im November 2021 erhob das US Justizministerium Anklage gegen zwei REvil-Mitglieder, von denen eines an dem Kaseya-Angriff beteiligt gewesen sein soll und in Polen verhaftet wurde. Gleichzeitig gab Europol die Verhaftung von fünf weiteren REvil-Mitgliedern bekannt. Angesichts des Drucks auf die REvil-Bande wäre es nicht überraschend, wenn sich einige von ihnen abspalteten und unter einem neuen Namen weitermachten.

Lesetipp: #REvil - ist REvil zurück?

"Basierend auf der Tatsache, dass die Betreiber von Ransom Cartel eindeutig Zugriff auf den ursprünglichen REvil-Ransomware-Quellcode haben, aber wahrscheinlich nicht über die Obfuscation-Engine verfügen, die zur Verschlüsselung von Strings und zum Verbergen von API-Aufrufen verwendet wird, gehen wir davon aus, dass die Betreiber von Ransom Cartelmit der REvil-Gruppe in Verbindung standen, bevor sie ihre eigene Operation starteten", schlussfolgert Palo Alto.

Aufgrund der Bekanntheit einiger Organisationen, die von Ransom Cartel bereits angegriffen wurden, und der stetig zunehmenden Fälle, sei es wahrscheinlich, dass die Bande weitere Organisationen angreifen und erpressen werde. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Tipp: Sie intersieren sich für Cybercrime und alles Wichtige rund um IT-Sicherheit? Dann abonnieren Sie doch einfach unseren kostenlosen Newsletter.