Vor vier Jahren wurde die Aussage, dass Cryptolocker bald an einzelne E-Mail-Adresse im Internet verschickt werden, belächelt. Damals haben Cyberkriminelle Phishing-E-Mails an Millionen von E-Mail-Adressen verschickt und Ransomware-Varianten über infizierte Links oder Word-Dokumente verbreitet, ohne dass sich Rückschlüsse auf die wahre Zielgruppe ziehen ließen. Von Studenten bis hin zu Großeltern, von Privatanwendern bis hin zu IT-Experten – jegliche Gruppen wurden Opfer dieser Angriffe. Als die Ransomware dann jedoch damit begann, netzwerkfähige Ressourcen zu verschlüsseln, schenkten ihr auch Unternehmen mehr Aufmerksamkeit.
In dieser Phase der Entwicklung wurde die sogenannte Scattershot-Delivery-Methode mit der Funktion der Verschlüsselung von Dateien auf dem lokalen Dateisystem und auf Unternehmensserver-Ressourcen kombiniert. Die Verschlüsselung des Dateiservers einer Infrastruktur oder des NAS (Network Attached Storage)-Systems verursacht mehr Schaden für Unternehmen als die Verschlüsselung eines einzelnen Arbeitsplatzes. Aus diesem Grund erhielten die Incident Response-Hotlines verstärkt Anrufe, bei denen IT-Administratoren auf der Suche nach einer Lösung verstärkt wissen wollten, welche Auswirkungen eine Lösegeldzahlung haben könnte.
Dieser Trend zur Verschlüsselung von Netzwerkfreigaben durch Ransomware und die damit verbundene erhöhte Aufmerksamkeit ist wahrscheinlich der Beginn der nächsten Phase der Ransomware-Verteilungstechniken.
Der Aufstieg des Remote Desktop-Protokolls
Angreifer und Opfer interagierten aufgrund der Auswirkungen der Ransomware auf die Unternehmensumgebung vermehrt miteinander um die Zahlung des Lösegeldes zu diskutieren. 2016 gab es dann zudem verstärkt Masseninfektionen, bei denen mehrere kritische Unternehmensbereiche in der Umgebung des Opfers gleichzeitig infiziert wurden. Die Security Community führte weitere Untersuchungen durch, was den Verdacht bestätigte: Cyberkriminelle haben, das von Microsoft entwickelte Remote Desktop-Protocol (ein proprietäres Protokoll, kurz RDP) genutzt, um über eine grafische Oberfläche eines entfernten Systems in der Umgebung des Opfers Fuß zu fassen.
Sobald die Angreifer in ein System eingedrungen waren, wurden in der Regel Tools eingesetzt, die es ermöglicht haben, falsch konfigurierte und unbeabsichtigte Benutzer/Gruppen/ Administrator-Beziehungen zu finden und diese Schwachstellen auszunutzen. Fehlkonfigurierte oder unbeabsichtigte Active Directory-Konfigurationen sind der beste Freund eines Cyberkriminellen. Sie ermöglichen den Angreifern den Zugriff auf die Rechte des Domainadministrators und somit auch den Zugriff auf das Netzwerk. Die Cyberkriminellen finden dadurch heraus, welche Objekte besonders wertvoll für das Opfer und somit auch für den Angreifer sind, und infizieren diese.
Nachdem kritische Server und Backup-Systeme in der Umgebung identifiziert wurden, konnten die Angreifer nun integrierte Windows-Systemadministrationswerkzeuge verwenden, um jede Ransomware massenhaft einzusetzen. Angreifer versuchten nicht mehr, jede Person im Internet per E-Mail zu erreichen – mit dem Remote Desktop-Protocol wussten sie genau, auf was sie sich konzentrieren sollten, und infizierten gleichzeitig kritische Vermögenswerte dank ihres neu erlangten tiefen Zugriffs in die Umgebung der Opfer.
Die nächste Stufe der Ransomware: Botnetze
Die Taktik, das RDP als Ausgangsbasis für diese massenhaften, geplanten, interaktiven oder manuellen Einsätze von Ransomware zu verwenden, war sehr verbreitet. Mit jüngsten Fällen wie der Ryuk-Ransomware sehen die Sicherheitsforscher jedoch eine Weiterentwicklung der Taktik. Bei der Untersuchung, ob sich Opfer durch RDP exponiert haben, wurden entweder keine RDP gefunden, oder es war nur über VPN zugänglich und nicht direkt mit dem Internet verbunden. Diese Fälle erforderten tiefere Untersuchungen. In mehreren weiteren Fällen wurden Bot-Infektionen gefunden, die mit dem Auftreten von Ransomware-Infektionen korrelieren.
Im letzten Monat wurden vermehrt TrickBot-, Emotet- und AdvisorsBot-Infektionen beobachtet, die mit dem Zeitpunkt der Bereitstellung von Ransomware übereinstimmen. Diese Bot-Infektionen sind in der Opferumgebung weit verbreitet und haben ebenfalls falsch konfigurierte Active Directory-Beziehungen genutzt, um sich im Netzwerk auszubreiten.
In diesen Fällen wurde festgestellt, dass Phishing-E-Mails mit bösartigen Word-Dokumenten der Bot-Zustellungsvektor sind. Diese Dokumente enthalten Makros – eine Folge von Anweisungen und Deklarationen, die per einfachem Aufruf ausgeführt werden können. In TrickBot und AdvisorsBot Infektionsuntersuchungen im Zusammenhang mit Ransomware wurde festgestellt, dass das Opfer folgende Aktionen durchgeführt hat:
- Die Phishing-Mail wurde geöffnet.
- Das bösartige Dokument wurde geöffnet.
- Makros zur Ausführung wurden aktiviert.
An dieser Stelle installiert der ausführbare Inhalt in den Makros entweder einen Bot oder er erreicht den Botnet Command-and-Control-Server, um letztendlich die Bot-Malware herunterzuladen.
Wir sehen dies als eine Weiterentwicklung der Ransomware-Auslieferungstaktik. Es gibt einen beobachtbaren Trend bei der Bereitstellung von Ransomware, der von opportunistischem Phishing über kompromittiertes RDP geht.
Zusammenfassend gehen die Sicherheitsforscher davon aus, dass Bot-Aktivitäten für den Vertrieb von Ransomware zunehmen werden. Bots sind eine einfache Methode zur Verbreitung zusätzlicher Malware, was sie wiederum zu einer attraktiven Möglichkeit für die Verbreitung von Ransomware macht.
Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.