Letzte Woche in Ransomware: die Woche vom 21. Juni

IT-Experten

Ransomware in den Nachrichten

Als Darkside ihren Ransomware-Angriff auf die amerikanische Infrastruktur startete, erregte die Gruppe die Aufmerksamkeit der US-Strafverfolgungsbehörden, was schließlich zu ihrer Auflösung im Mai führte. Dies hat jedoch andere Gruppen nicht davon abgehalten, sich als Darkside auszugeben und gefälschte Darkside-Erpresser-E-Mails an Unternehmen in der Energie- und Lebensmittelbranche zu senden.

In einer aktuellen Studie von Cybereason wurde festgestellt, dass 80 % der Unternehmen, die ein Lösegeld gezahlt haben, letztendlich von einem zweiten Angriff betroffen waren, wobei die Hälfte davon erneut von derselben Gruppe angegriffen wurde. Es ist leicht zu verstehen, warum es verlockend sein könnte, ein Lösegeld zu zahlen, denn das FBI berichtet von einem Anstieg der Gesamtverluste durch Ransomware im Jahr 2020 um 225 %. Doch wenn man der Cybereasons-Studie glauben schenkt, ist es keine langfristige Lösung, einfach das Lösegeld zu zahlen.

„In nur einer Stunde bringe ich Ihnen die Grundlagen von Ransomware bei und was Sie tun können, um sich darauf vorzubereiten und dagegen zu schützen.“

Es gibt gute Nachrichten: Die ukrainische Polizei hat 21 Wohnungen im Zusammenhang mit der Ransomware-Bande Clop durchsucht und dabei sechs Personen festgenommen.

Und dieser Fall wird Ihnen sicher noch in den Sinn kommen, wenn Sie das nächste Mal Ihren Computer zur Reparatur bringen: Die südkoreanische Polizei hat einen Computerreparateur verhaftet, der Ransomware hergestellt und verbreitet hat. Es wird vermutet, dass durch den Betrug über 300.000 Dollar an Ransomware-Zahlungen erzielt wurden.

Auf dem jüngsten Gipfel zwischen Biden und Putin wurde über Cyber-Bedrohungen gesprochen, einschließlich Ransomware. Hier vertrat Biden den Standpunkt, dass bestimmte Sektoren, die für ein Land von entscheidender Bedeutung sind, nicht Ziel solcher Angriffe werden dürfen. Was genau diese Gespräche bringen werden und welche realen Maßnahmen ergriffen werden, bleibt zu sehen.

Ransomware-Forschung

Jüngste Untersuchungen zeigen, dass die „GOLD WINTER“-Gruppe möglicherweise die Ransomware Hades betreibt und sich auf große und lukrative Ziele konzentriert, die sonst von opportunistischeren Ransomware-Gruppen ignoriert werden. Die Abwesenheit von Hades in Foren und auf Marktplätzen hat Secureworks zu dem Schluss gebracht, dass es sich um private Ransomware handelt. Und die Tor-basierten Websites, die für Hades verwendet werden, scheinen darauf hinzudeuten, dass es für jedes Opfer individuell angepasst wird. Die Ransomware verwendet zwei Zugriffsvektoren für den Anfang. Der erste sind gestohlene Anmeldedaten, die für den Zugriff auf ein VPN ohne Zwei-Faktor-Authentifizierung verwendet werden, und der andere ist SocGholish, eine Malware, die mit gefälschten Browser-Updates arbeitet. Der Blog-Beitrag geht sehr detailliert auf die Hades-Ransomware und die Gruppen ein, die sie einsetzen.

Prodaft hat auch einen ausführlichen Bericht über die LockBit-Ransomware veröffentlicht. Lockbit ist ein relativ neues Ransomware-Programm, das in den letzten Monaten an Popularität gewonnen hat und mit einem Ransomware-as-a-Service-Modell arbeitet.

Red Team Ransomware 

Ransom0 ist eine gut gewartete Open-Source-Ransomware auf Python-Basis, die auf GitHub gehostet wird. Sie bietet alle Standardfunktionen, die man von Ransomware erwarten würde, einschließlich der Suche nach Dateien, deren Verschlüsselung sowie dem Senden von Daten und der Möglichkeit, die Daten zu entschlüsseln. Dadurch ist sie ein potenziell sehr nützliches Werkzeug für Red Teams oder andere Sicherheitsprüfungsteams, um zu testen, wie die Teilnehmer auf einen Ransomware-Angriff reagieren würden.

Es handelt sich um ein einfaches Ransomware-Programm, das frei und offen auf GitHub verfügbar und komplett in Rust geschrieben ist. Es verwendet eine Reihe von Anti-Reversing-Techniken und die standardmäßige AES-Verschlüsselung. Starten Sie eine virtuelle Umgebung und testen Sie, wie gut Ihr System gegen eine Rust-basierte Ransomware ankommt.

Schutzmaßnahmen für das Blue Team

Die Gruppe, die hinter der Avaddon-Ransomware steckt, scheint verschwunden zu sein, nachdem sie von den Strafverfolgungsbehörden in den USA und Australien zu sehr unter die Lupe genommen wurde. Dadurch bleiben einige Opfer potenziell ohne eine Möglichkeit zurück, wieder Zugriff auf ihre Dateien zu erhalten. Wenn Ihre Dateien von Avaddon betroffen sind, das mit AES-256 und RSA-2048 verschlüsselt, dann sollte dieser Emsisoft-Decrypter Ihr Problem kostenlos lösen können.

Mit dem AWS-Self-Service-Tool zur Sicherheitsbewertung, bereitgestellt vom Team von Amazon Web Services, können Kunden mithilfe der Open-Source-Projekte „Prowler“ und „ScoutSuite“ schnell Sicherheitsprüfungen durchführen.

KilledProcessCanary ist ein einfaches Programm, das eine Reihe von Prozessen erzeugt, die sich gegenseitig überwachen. Es geht von der Hypothese aus, dass bestimmte Ransomware-Programme Dienste anhalten, wenn sie den Verschlüsselungsprozess beginnen. Wenn dies erkannt wird, feuert es ein Canary-DNS-Token ab, um Sie zu benachrichtigen. KilledProcessCanary sollte sicherlich nicht Ihre erste Verteidigungslinie sein, aber das Tool kann Ihnen möglicherweise helfen, einen Ransomware-Angriff abzufangen, bevor alle Dateien komplett verschlüsselt sind.

Kommende Sicherheitskonferenzen

CyberSecurity Festival (16., 23. und 30. Juni)

Das Cybersecurity Festival besteht aus einer Reihe von Präsentationen und Podiumsdiskussionen, die von Branchenexperten veranstaltet werden und die Teilnehmer über grundlegende Fragen der Cybersicherheit aufklären sollen. Die Anmeldung ist kostenlos – warum also nicht teilnehmen?

Der Cyber Strategy Retreat 2021 (14.–15. Juli)

Der Cyber Strategy Retreat zielt darauf ab, die Zusammenarbeit zwischen Geschäfts-, Technologie- und Risikomanagement-Führungskräften zu erleichtern. Der Retreat konzentriert sich darauf, über Compliance-orientierte Programme hinauszugehen und Cybersicherheitsrisiken wie Ransomware im größtmöglichen Umfang zu bewältigen.

International Conference on Cybersecurity 2021 (19.–22. Juli)

Die International Conference on Cybersecurity (ICCS) wird vom FBI und der Fordham University veranstaltet und bringt Regierung, Privatwirtschaft und Wissenschaft zusammen, um aktuelle Cyberbedrohungen wie Ransomware zu diskutieren.

BLACK HAT USA 2021 (31. Juli bis 5. August)

Die Black Hat ist eine der größten jährlichen Sicherheitskonferenzen. Sie ist die Firmenversion von Defcon und daher eine hervorragende Gelegenheit, sich mit Sicherheitsexperten wie dem Varonis-Team vertraut zu machen. Kommen Sie unbedingt an unserem Stand vorbei!

Avatar

Michael Raymond

Michael Raymond ist ein Sicherheitsforscher und Videoproduzent für die YouTube-Kanäle Null Byte und SecurityFWD.

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990