Eine weitere Waffe, die dem bereits furchterregenden Arsenal von Ransomware hinzugefügt wurde. Laut Symantec-Forschern wurde die REvil-Infektion (auch bekannt als Sodinokibi) dabei beobachtet, wie sie die Netzwerke ihrer Opfer nach POS-Geräten scannte.
REvil ist eine der beliebtesten Ransomware-as-a-Service (RaaS), d.h. sie wird im Dark Web in "fertigen" Angriffspaketen verkauft und ist dafür bekannt, dass sie mithilfe von Exploits, anfälligen RDP-Diensten, Phishing und kompromittierten Managed Service Providern in Unternehmensnetzwerke eindringen kann.
Der Angriff
In ihrer jüngsten Kampagne haben sich die kriminellen Hacker, nachdem sie sich Zugang zum Netzwerk eines Ziels verschafft hatten, seitlich ausgebreitet, um auch Daten von Servern und Workstations zu stehlen und dann alle Rechner im Netzwerk zu verschlüsseln, nachdem sie sich administrativen Zugriff auf den Domain Controller verschafft hatten.
Im Rahmen der von den Forschern beobachteten Kampagne nutzten die Angreifer hinter REvil das Cobalt Strike-Toolkit, um verschiedene Nutzlasten in den Netzwerken ihrer Ziele zu verteilen.
Insgesamt fanden die Forscher Cobalt Strike in den Netzwerken von acht Unternehmen, auf die diese Kampagne abzielte, wobei die Angreifer drei Unternehmen aus dem Dienstleistungs-, Lebensmittel- und Gesundheitssektor mit der REvil-Ransomware infizierten und verschlüsselten.
Die Unternehmen, auf die diese Kampagne abzielte, waren vor allem große Unternehmen, darunter auch multinationale Konzerne, die wahrscheinlich ins Visier genommen wurden, weil die Angreifer davon ausgingen, dass sie bereit wären, ein hohes Lösegeld zu zahlen, um wieder Zugang zu ihren Systemen zu erhalten.
Jedes der Opfer wurde aufgefordert, 50.000 US-Dollar in der Kryptowährung Monero oder 100.000 US-Dollar zu zahlen, wenn die dreistündige Frist ablief.
Die kriminellen REvil-Hacker taten ihr Bestes, um einer Entdeckung zu entgehen, nachdem sie sich Zugang zu den Netzwerken ihrer Ziele verschafft hatten, indem sie Infrastrukturen nutzten, die auf legitimen Diensten wie Pastebin (Speicherung von Nutzdaten) und Amazon CloudFront (Befehls- und Kontrollserver) gehostet wurden.
Sie deaktivierten auch Sicherheitssoftware, um zu verhindern, dass ihre Angriffe entdeckt werden, und stahlen Anmeldedaten, die später dazu verwendet wurden, "abtrünnige" Konten hinzuzufügen, um auf den kompromittierten Rechnern zu bleiben.
Erweiterungen für PoS-Systeme
Während Lebensmittel- und Dienstleistungsunternehmen die perfekten Ziele waren, da es sich um große Organisationen handelte, die in der Lage waren, ein hohes Lösegeld für die Entschlüsselung ihrer Systeme zu zahlen, handelte es sich bei dem betroffenen Gesundheitsunternehmen um eine viel kleinere Organisation, die das Lösegeld nicht zahlen konnte.
In diesem Fall, der wahrscheinlich dadurch motiviert war, dass das Opfer nicht in der Lage war, für seinen "Entschlüsseler" zu bezahlen, durchsuchten die REvil-Operatoren auch das Netzwerk der Organisation nach PoS-Systemen, die mit Kreditkartendaten oder einem anderen wertvollen Ziel, das verschlüsselt werden sollte, entschädigt werden sollten.
Während viele der Elemente dieses Angriffs "typische" Taktiken sind, die bei früheren Angriffen mit Sodinokibi beobachtet wurden, ist das Scannen der Opfersysteme nach PoS-Software interessant, da dies normalerweise nicht bei klassischen Ransomware-Kampagnen vorkommt.
Es wird interessant sein zu sehen, ob dies nur eine opportunistische Aktion war oder ob es sich um eine neue Taktik handelt.
Als ob das nicht genug wäre, hat die Ransomware REvil Anfang des Monats auch eine Auktionsseite gestartet, um die gestohlenen Daten ihrer Opfer an den Höchstbietenden zu verkaufen.
Von Pierguido Iezzi, Mitbegründer von Swascan