Deutschland
 

Microsoft-Analyse

Iranische Hackerbande nutzt BitLocker für Ransomware-Attacken

Microsoft-Forscher warnen vor einer neuen Sicherheitsbedrohung durch eine iranische Hackergruppe. Die Bande missbraucht demnach die BitLocker-Funktion von Windows für ihre Zwecke.
Von 
CSO | 12. September 2022 14:55 Uhr
Microsoft zufolge missbrauchen iranische Hacker das Windows-Sicherheits-Tool BitLocker, um die Systeme ihrer Opfer zu verschlüsseln.
Microsoft zufolge missbrauchen iranische Hacker das Windows-Sicherheits-Tool BitLocker, um die Systeme ihrer Opfer zu verschlüsseln.
Foto: trambler58 - shutterstock.com

Das Threat Intelligence Team von Microsoft fand heraus, dass die Hackerbande DEV-0270, auch bekannt als Nemesis Kitten, die Windows-Funktion BitLocker bei Angriffen ausnutzt, um die Systeme der Opfer zu verschlüsseln. Bei der Gruppe soll es sich um eine Abspaltung der berüchtigten iranischen Hackergang Phosphorus handeln.

Ausnutzen von Schwachstellen

Der Analyse zufolge setzt die DEV-0270-Gruppe auf Schwachstellen mit hohem Schweregrad, um sich Zugang zu Geräten und Netzen zu verschaffen. Die Angreifer würden dazu zunächst gezielt nach Opfern suchen, deren Server und Geräte für Sicherheitslücken in Microsoft Exchange Server, Fortinet FortiGate SSL-VPN und Apache-Log4j anfällig sind.

Zudem stellten die Forscher fest, dass die Hacker in der gesamten Angriffskette Living-Off-The-Land-Binaries (LOLBins) für die Erkennung und den Zugriff auf Anmeldeinformationen nutzen. "Dies erstreckt sich auch auf den Missbrauch des integrierten BitLocker-Tools, um Dateien auf den kompromittierten Geräten zu verschlüsseln", heißt es.

Verschleierungstaktiken der Angreifer

Wie die Forscher erklären, würde DEV-0270 dabei verschiedene Umgehungstechniken verwenden, um nicht entdeckt zu werden. "Die Bedrohungsakteure deaktivieren in der Regel den Echtzeitschutz von Microsoft Defender Antivirus, um zu verhindern, dass das Tool die Ausführung ihrer benutzerdefinierten Binärdateien blockiert." Darüber hinaus würden die Angreifer native LOLBins einsetzen, um eine Erkennung zu verhindern.

Das Analyseteam hat zudem beobachtet, dass die Angreifer setup.bat-Befehle ausführen, um die BitLocker-Verschlüsselung zu aktivieren. "Das führt dazu, dass die Hosts funktionsunfähig werden. Für Workstations verwendet die Gruppe DiskCryptor, ein Open-Source-Festplattenverschlüsselungssystem für Windows, das die Verschlüsselung der gesamten Festplatte eines Geräts ermöglicht", erklären die Microsoft-Forscher.

Nach den Angaben der Forscher erfolgte die Lösegeldforderung in einigen Fällen, in denen die Verschlüsselung erfolgreich war, innerhalb von zwei Tagen nach dem ersten Zugriff. Die Täter hätten dabei 8.000 US-Dollar für Entschlüsselungsschlüssel von den Opfern verlangt.

Lesetipps: Cyberspionage - Neue Malware-Bedrohung aus dem Iran

Angriffe auf VMWare-Horizon-Server - Iranische Hacker nutzen Log4j-Lücke aus

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.
Folgen: