REvil-Ransomware im Detail betrachtet
14. Juni 2021Ein ausgereiftes und weit verbreitetes Ransomware-as-a-Service (RaaS) Angebot – nicht anderes verbirgt sich hinter REvil (auch als Sodinokibi bezeichnet). Kriminelle können die Ransomware von den Entwicklern leasen und mit eigenen Parametern versehen auf den Computern ihrer Opfer platzieren. Der jeweilige Ansatz und die Auswirkungen eines Angriffs mit REvil-Ransomware sind somit sehr variabel und hängen von den Tools, Verhaltensweisen, Ressourcen und Fähigkeiten des Angreifers ab, der die Malware mietet.
„Für eine gewöhnliche, alltägliche Ransomware, die es erst seit ein paar Jahren gibt, schafft es REvil/Sodinokibi bereits, beträchtlichen Schaden anzurichten und Lösegeldzahlungen in Höhe von mehreren Millionen Dollar zu fordern. Der Erfolg von REvil/Sodinokibi könnte zum Teil auf die Tatsache zurückzuführen sein, dass als Ransomware-as-a-Service-Angebot jeder Angriff anders ist. Das kann es Verteidigern schwer machen, die Warnzeichen zu erkennen, auf die sie achten müssen“, so schätzt Andrew Brandt, Principal Researcher bei Sophos, die Problematik ein.
Zu den von Sophos beobachteten REvil-Ransomware-Angriffswerkzeugen und -Verhaltensweisen gehören:
- Brute-Force-Attacken gegen bekannte Internetdienste wie VPN, Remote-Desktop-Protokolle (RDP), Desktop-Remote-Management-Tools wie VNC und sogar einige Cloud-basierte Managementsysteme.
- Missbrauch von Zugangsdaten, die durch Malware oder Phishing erlangt wurden, oder einfach durch Hinzufügen zu anderer Malware, die sich bereits im Netzwerk des Ziels befindet.
- Credential Harvesting und Privilegien-Erweiterung mithilfe von Mimikatz, um die Anmeldedaten eines Domain-Administrators zu erhalten.
- Schaffung der Voraussetzungen für die Freisetzung der Ransomware durch Deaktivieren oder Löschen von Backups, den Versuch, Sicherheitstechnologien zu deaktivieren und Zielcomputer für die Verschlüsselung zu identifizieren.
- Hochladen großer Datenmengen zur Exfiltration – obwohl Sophos Forscher dies nur in etwa der Hälfte der untersuchten REvil/Sodonokibi-Vorfälle gesehen haben. In Fällen, die Datendiebstahl beinhalteten, verwendeten etwa Dreiviertel Mega.nz als (temporären) Speicherort für die gestohlenen Daten.
- Neustart des Computers in den abgesicherten Modus vor der Datenverschlüsselung, um Endpunktschutz-Tools zu umgehen
Hartnäckigkeit und fremde Federn
Die Angreifer, die REvil-Ransomware einsetzen, können laut den Ergebnissen von Sophos Rapid Response sehr hartnäckig sein. In einem kürzlich vom Team untersuchten REvil-Angriff zeigten die von einem kompromittierten Server gesammelten Daten ca. 35.000 fehlgeschlagene Anmeldeversuche über einen Zeitraum von fünf Minuten, die von 349 eindeutigen IP-Adressen aus der ganzen Welt stammten.
In mindestens zwei REvil-Attacken, die von Sophos-Forschern beobachtet wurden, war der ursprüngliche Zugangspunkt zudem ein Tool, das von einem früheren Ransomware-Angriff eines anderen Angreifers zurückgelassen wurde. (rhh)