Dieser Bericht bietet einen monatlichen Überblick vom Forensik-Team von Varonis und dokumentiert die Aktivitäten, die wir beobachtet haben, während wir auf Ereignisse reagiert, forensische Untersuchungen durchgeführt und Malware-Proben durch Reverse Engineering nachkonstruiert haben. Dieser Bericht dient dazu, Ihnen zu helfen, die sich stets weiterentwickelnden Bedrohungsszenarien besser zu verstehen und Ihre Abwehrmaßnahmen entsprechend anzupassen.
[1] Ryuk ist ein Ransomware-Stamm, der im August 2018 entdeckt wurde. Er unterscheidet sich von anderen Ransomware-Varianten, wie z. B. WannaCry, dadurch, dass er vor allem bei gezielten Angriffen eingesetzt wird. Ryuk ist so konstruiert, dass er den Angreifer dazu zwingt, jedem Angriffsziel einzeln Aufmerksamkeit zu schenken.
Bekannte Varianten von Ryuk verwenden 2 Hauptinfektionsmethoden: eigens verfasste Spear-Phishing-E-Mails, die sich in der Regel an bestimmte Mitarbeiter innerhalb eines Unternehmens richten; und die Verwendung vorab erhaltener Zugangsdaten für den Zugriff auf Geräte in bestimmten Umgebungen per Remote Desktop.
[2] Vor Kurzem wurde beobachtet, dass Ryuk auch den Zerologon-Exploit (CVE-2020-1472) ausnutzt, wodurch Cyberkriminelle ihre Berechtigungen viel schneller eskalieren können, als mit anderen Methoden. Daher können Angreifer häufig das Passwort des primären Domaincontrollers verwenden, um sich lateral zu den übrigen Domaincontrollern zu bewegen und über diese Ransomware im gesamten Netzwerk zu verteilen.
[3] Silent Librarian, auch bekannt als COBALT DICKENS und TA407, ist ein Bedrohungsakteur, der Spear-Phishing-Techniken einsetzt, um Universitäten anzugreifen – vor allem in den Vereinigten Staaten, aber auch in anderen Teilen der Welt. Er greift insbesondere Universitätsmitarbeiter und Studenten an, da er vor allem auf den Diebstahl akademischer Forschungsdaten abzielt.
Silent Librarian greift aus dem Iran an und wird höchstwahrscheinlich von der iranischen Regierung finanziert. Somit reflektiert er die Absichten und Interessen des Iran, mit der wissenschaftlichen Entwicklung der Welt Schritt zu halten, trotz der schwerwiegenden Sanktionen, denen das Land unterliegt.
Um seine Opfer in die Falle zu locken, verwendet Silent Librarian Domainnnamen, die dem echten Domainnamen der Universität sehr ähnlich sind. Es wird einfach die Top-Level-Domain gegen eine andere ausgetauscht.
Zum Beispiel ist die Domain der „Western University Canada“ „login.proxy1.lib.uwo.ca“, und die Angreifer verwenden die Domain „login.proxy1.lib.uwo.ca.sftt.cf“. Für „Die Bibliothek der University of Adelaide“ lautet der echte Domainname „library.adelaide.edu.au“, während der Angreifer die Domain „library.adelaide.crev.me“ verwendet hat. Die Phishing-Website sah folgendermaßen aus:
Silent Librarian nutzt den Cloudflare-Dienst, um den Hosting-Standort zu verbergen, da die Angreifer dazu neigen, Infrastruktur in ihrem eigenen Land zu nutzen. Das ist höchstwahrscheinlich darauf zurückzuführen, dass sie keine Infrastruktur in anderen Ländern erwerben können.
Mekotio ist ein Banking-Trojaner, der erstmals 2015 in freier Wildbahn gesichtet wurde. Banking-Trojaner sind in den letzten Jahren zunehmend beliebter geworden, da sie als Nutzdaten eines erfolgreichen Angriffs sehr profitabel sein können.
[4] Um nicht von AV- und EDR-Lösungen entdeckt zu werden, müssen sich Banking-Trojaner ständig verändern und weiterentwickeln. Der lateinamerikanische Trojaner Mekotio ist ein hervorragendes Beispiel dafür – einerseits ändert sich sein Funktionsumfang häufig, andererseits wird auch angenommen, dass stets mehrere Varianten von Mekotio gleichzeitig entwickelt werden. Mekotio wird meist über Spam-E-Mails zugestellt und verwendet mehrere Stufen von Ladeprogrammen.
Bei seinen Angriffen neigt Mekotio dazu, speziell gestaltete Pop-up-Fenster zu verwenden, die sorgfältig auf lateinamerikanische Banken zugeschnitten sind, um vertrauliche Daten zu sammeln. Mekotio verfügt über fortschrittliche Spionagefunktionen, um die Firewall-Konfiguration, die Windows-Version und ggf. installierte Sicherheitslösungen zu erkennen und zu ermitteln, ob der aktuelle Benutzer über Administratorrechte verfügt. Er verwendet auch gängige Techniken zur Etablierung von Persistenz, indem er Registrierungsschlüssel oder den Windows-Startordner benutzt.
Neben den gängigen Kapazitäten wie Keylogging und Screenshots verfügt Mekotio auch über einige interessante Funktionen – z. B. das Exfiltrieren von in Google Chrome gespeicherten Anmeldeinformationen, den Diebstahl von Krypto-Währungen durch den Austausch von Zeichenketten in der Zwischenablage und die teilweise Zerstörung von Daten durch Entfernen von Dateien und Ordnern in systemnahen Verzeichnissen.
Aufgrund der unterschiedlichen Banking-Systeme in den einzelnen Ländern sind die Varianten der Banking-Trojaner tendenziell ortsspezifisch. Das gilt auch für Mekotio. Obwohl sein Hauptziel lateinamerikanische Banken sind, sind auch Dutzende von anderen Opfern bekannt, vor allem in Brasilien, Chile, Mexiko und Peru.
Varonis DatAlert verfügt über mehrere Bedrohungsmodelle, die die genannten Malware-Varianten in verschiedenen Stufen ihrer Aktivität identifizieren können:
Ein Kunde von Varonis – ein Chemieunternehmen in den USA mit Tausenden von Mitarbeitern – hatte einen Vorfall mit der NetWalker-Ransomware.
Ende September wandte sich das Forensikteam eigenhändig an den Kunden, als unsere Bedrohungserkennungssysteme anzeigten, dass es sich um einen unerkannten Ransomware-Angriff handeln könnte.
Während einer Untersuchung wurde klar, dass der Kunde einen kompromittierten Benutzer in O365 hatte, den der Angreifer benutzt hat, um sich Zugriff auf das On-Premise-Netzwerk zu verschaffen.
Innerhalb des Netzwerks gelang es dem Angreifer, ein Dienstkonto zu kompromittieren, über das sowohl Cobalt-Strike- als auch NetWalker-Ransomware ausgeführt wurde.
Unser Team half dem Kunden dabei:
| Name der Variante | Verbreitung | Datenzentrierte IOCs |
| mechu-Ransomware | 1 | Erweiterung: .mechu4Po |
| Babaxed-Ransomware | 2 | Erweiterung: .babaxed |
| Dharma-Ransomware | 3 | Erweiterung: .WSHLP |
| EasyRansom-Ransomware | 1 | Lösegeldforderung: easyransom_readme.txt
Erweiterung: .easyransom |
| STOP-Ransomware | 3 | Erweiterung: .lyli |
| Dharma-Ransomware | 3 | Erweiterung: .fresh |
| Mame-VSE-Ransomware | 1 | Erweiterung: .mame vse |
| Dharma-Ransomware | 3 | Erweiterung: .homer |
| Dharma-Ransomware | 3 | Erweiterung: .flyu |
| Babaxed-Ransomware | 2 | Erweiterung: .osnoed |
| STOP-Djvu-Ransomware | 3 | Erweiterung: .moss |
| SantaCrypt-Ransomware | 2 | Lösegeldforderung: HOW_TO_RECOVER_MY_FILES.TXT
Erweiterung: .$anta |
| Curator-Ransomware | 1 | Erweiterung: .CURATOR |
| WoodRat-Ransomware | 1 | Erweiterung: .woodrat |
| Cyber_Splitter | 1 | Erweiterung: .Dcry |
| Dharma-Ransomware | 3 | Erweiterung: .gtsc |
| Snatch-Ransomware | 1 | Erweiterung: .clhmotjdxp |
| Nibiru-Ransomware | 1 | Erweiterung: .Nibiru |
| Geneve-Ransomware | 1 | Erweiterung: .fezmm |
| Ranzy-Locker-Ransomware | 1 | Erweiterung: .RNZ |
| Matrix ransomware | 3 | Lösegeldforderung: J91D_README.rtf
Erweiterung: .J91D |
| Matrix-Ransomware | 3 | Lösegeldforderung: S996_INFO.rtf
Erweiterung: .S996 |
| Matrix-Ransomware | 3 | Lösegeldforderung: FDFK22_INFO.rtf
Erweiterung: .FDFK22 |
| Consciousness-Ransomware | 1 | Lösegeldforderung: Consciousness Ransomware Text Message.txt |
| AIDS_NT-Ransomware | 1 | Lösegeldforderung: AIDS_NT_Instructions.txt |
| Lösegeldforderung der XoristenRansomware | 2 | Erweiterung: .emilisub |
| ThunderX | 1 | Erweiterung: .tx_locked |
| Xorist-Ransomware | 2 | Erweiterung: .hnx911 |
| MedusaLocker | 2 | Erweiterung: .networkmaze |
| OGDO STOP | 1 | Erweiterung: .ogdo |
| Flamingo-Ransomware | 1 | Erweiterung: .FLAMINGO |
| Dharma-Ransomware | 3 | Erweiterung: .eur |
| Dharma-Ransomware | 3 | Erweiterung: .blm |
| XMRLocker | 1 | Erweiterung: .[XMRLocker] |
– Auf Englisch veröffentlichter Artikel von BEN ZION LAVI, Sicherheitsspezialist, Mitglied unseres Reaseach-Teams
[1] – https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/ryuk-ransomware/
[2] – https://threatpost.com/ryuk-ransomware-gang-zerologon-lightning-attack/160286/
[3] – https://blog.malwarebytes.com/malwarebytes-news/2020/10/silent-librarian-apt-phishing-attack/
Datum des Berichts: Oktober 2020
Für Fragen und zusätzliche Informationen kontaktieren Sie uns bitte unter dl-eng-forensics@varonis.com