Blog

Ransomware

Dem Ransomware-as-a-Service-Geschäftsmodell von REvil einen Schritt voraus sein

Dem Ransomware-as-a-Service-Geschäftsmodell von REvil einen Schritt voraus seinStandard-BlogbildStandard-Blogbild
14
Februar 2022
14
Februar 2022

REvil, auch bekannt als Sodinokibi, ist eine Ransomware-as-a-Service (RaaS)-Bande, die für einen der größten Ransomware-Angriffe der Geschichte verantwortlich ist. Am 14. Januar 2022 gab Russland bekannt, dass es 14 Mitglieder der kriminellen Bande verhaftet hat. Dieser Schritt erfolgte auf Ersuchen der US-Behörden, die gemeinsam mit internationalen Partnern hart gegen die Hacker vorgegangen sind. Im vergangenen Jahr wurden mehrere aufsehenerregende Angriffe der REvil-Gruppe zugeschrieben, darunter die Ransomware von JBS und die Vorfälle in der Lieferkette von Kaseya.

Die Verhaftungen sind sicherlich ein Sieg für die westlichen Strafverfolgungsbehörden und folgen auf die Ankündigung von Europol im November, dass in den vorangegangenen Monaten sieben REvil-Mitglieder verhaftet worden waren. Die Frage ist: Inwieweit werden diese Verhaftungen die Machenschaften der Kriminellen stören, und für wie lange?

Erste Hinweise von Sicherheitsforschern bei ReversingLabs deuten darauf hin, dass die REvil-Aktivität nicht beeinträchtigt wurde. Die Statistiken über REvil-Implantate sind zwei Wochen nach den russischen Verhaftungen unverändert und deuten eher auf einen leichten Anstieg hin.

Diese anhaltende Aktivität lässt auf eines von zwei Szenarien schließen:

  • Die zahlreichen Verhaftungen betrafen nur die "Mittelsmänner" in der Hierarchie der kriminellen Organisation
  • Das Ransomware-as-a-Service-Modell von REvil ist widerstandsfähig genug, um Störungen durch Strafverfolgungsbehörden zu überstehen

Beide Szenarien sind besorgniserregend für diejenigen, die Ransomware-Banden zum Opfer fallen könnten. Die Realität ist wahrscheinlich eine viel komplexere Mischung aus diesen und anderen Faktoren. Das Durchgreifen gegen Ransomware ist längst überfällig, aber der Kampf wird wahrscheinlich sehr langwierig sein. Die Strafverfolgungsbehörden müssen das Geschäftsmodell so weit unterbinden, dass es nicht mehr rentabel ist, im Ransomware-Geschäft mitzumischen. Dies wird wahrscheinlich Monate oder sogar Jahre in Anspruch nehmen.

Die Bekämpfung von Ransomware spielt sich auf der größten Bühne ab. Welchen Trost können Sicherheitsteams aus den jüngsten Ereignissen ziehen, wenn es überhaupt einen gibt?

Dem sich entwickelnden RaaS-Modell mit KI immer einen Schritt voraus

Ein gemeinsamer Bericht über Ransomware, der kürzlich vom FBI, CISA, NCSC, ACSC und der NSA veröffentlicht wurde, zeigt die wichtigsten Trends des vergangenen Jahres auf:

  • RaaS hat sich zunehmend professionalisiert, Geschäftsmodelle und Prozesse sind inzwischen gut etabliert.
  • Das Geschäftsmodell erschwert die Zuordnung, da es komplexe Netzwerke von Entwicklern, Partnern und Freiberuflern gibt.
  • Ransomware-Gruppen tauschen Informationen über ihre Opfer untereinander aus, wodurch die Bedrohung für Unternehmen noch vielfältiger wird.

Zusammenfassend zeigt der Bericht, wie Ransomware-Banden immer anpassungsfähiger werden, wenn es darum geht, die Strafverfolgung zu umgehen und den Gewinn aus Lösegeldzahlungen zu maximieren. Mehrere Gruppen sind verschwunden oder haben sich zurückgezogen, nur um unter einem anderen Namen und mit einer leicht veränderten Strategie wieder aufzutauchen. Die Taktiken, Techniken und Verfahren (TTPs) unterscheiden sich von Opfer zu Opfer, was vor allem daran liegt, dass die Angriffe von verschiedenen Ransomware-Betreibern und angeschlossenen Unternehmen durchgeführt werden.

Dies ist beunruhigend für die Strafverfolgungsbehörden, die versuchen, gegen die Personen vorzugehen, die hinter diesen Angriffen stecken. Wenn eine RaaS-Gruppe wie REvil aus einem amorphen und sich ständig verändernden Netz von Partnern besteht, ist die Verhaftung einzelner Personen ein ständiges Hinterherlaufen und wird die Gruppe als Ganzes wahrscheinlich nicht zu Fall bringen.

Der gleiche Kampf spielt sich auch auf der Ebene einzelner Angriffskampagnen ab. Sicherheitstools, die sich auf die Merkmale früherer Bedrohungen konzentrieren, befinden sich ebenfalls in einer ständigen Aufholjagd: Bis ein einzelner Angriff erkannt, mit Fingerabdrücken versehen und für das nächste Mal gespeichert ist, haben sich die Angreifer und ihre Techniken bereits weiterentwickelt.

Aber es gibt noch eine andere Möglichkeit für Verteidiger, die zunehmend auf selbstlernende KI setzen, um Angreifern einen Schritt voraus zu sein. Indem sie Ihre digitale Umgebung erlernt und subtile Abweichungen identifiziert, die auf einen Angriff hindeuten, kann diese Technologie neuartige Angriffe bereits beim ersten Auftreten erkennen und darauf reagieren. Unten sehen Sie ein Beispiel dafür, wie die selbstlernende KI einen Angriff von REvil ohne Regeln oder Signaturen erkannt hat.

REvil Angriffe finden

Im Sommer 2021 startete ein REvil-Tochterunternehmen einen Angriff auf eine Organisation des Gesundheits- und Sozialwesens. Ein Sektor, in dem die Zahl der Cyberangriffe seit Beginn der weltweiten Pandemie stark zugenommen hat. Der Angriff wurde zwar von der KI ohne Verwendung von Regeln oder Signaturen erkannt, aber das Sicherheitsteam überwachte Darktrace zu diesem Zeitpunkt nicht. Da die autonome Reaktionentgegen aller Warnungen nicht live geschalten war, konnte der Angriff fortgesetzt werden.

Nachdem sich der Angreifer über den Laptop eines Remote-Mitarbeiters Zugang zum Netzwerk verschafft hatte, konnte er eine legitime Remote-Desktop-Verbindung (RDP) zu einem Jump-Server des Unternehmens missbrauchen, um weitere Anmeldedaten abzufangen.

Sobald der Angreifer über weitere Anmeldeinformationen verfügte, stellte er über RDP eine Verbindung zu mehreren internen Geräten her, darunter auch zu einem zweiten Jump-Server. Die Datenexfiltration begann von dem ursprünglich kompromittierten Server über den RDP-Port 3389.

Zwei Wochen später identifizierte der Angreifer die Kronjuwelen der Organisation, die auf einem dritten Server gespeichert waren, und versuchte, die Command-and-Control-Kommunikation (C2) zu initiieren. Der Server stellte eine Reihe ungewöhnlicher externer Verbindungen her, darunter Versuche, sich mit einer seltenen Domain zu verbinden, die dem Aktivitätsmuster ähnelte, das mit der früheren Kaseya-Ransomware-Kampagne von REvil verbunden war.

Darktrace for Endpoint, das auf Remote-Benutzergeräten ausgeführt wurde, sorgte für zusätzliche Transparenz und ermöglichte es dem Sicherheitsteam, das ursprünglich gefährdete Benutzergerät zu ermitteln. Wäre Antigena auf dem Endpunkt aktiv gewesen, hätte es eingegriffen, um diese ungewöhnliche Aktivität zu stoppen, indem es die spezifischen ungewöhnlichen Verbindungen blockiert hätte. Der Angriff wäre eingedemämmt worden, ohne den regulären Geschäftsbetrieb zu beeinträchtigen.

Verknüpfung der Punkte eines Low-and-Slow-Angriffs

Die Gesamtverweildauer der Angreifer betrug 22 Tage. Sie waren geduldig und führten ihre Aktionen in Schüben durch. Oftmals lagen Tage dazwischen. Dieses Verhaltensmuster ist für Ransomware-Angriffe nicht ungewöhnlich, insbesondere für solche, die das RaaS-Modell verwenden, bei dem jeder Schritt von verschiedenen Bandenmitgliedern oder verbundenen Unternehmen ausgeführt werden kann.

Der Darktrace Cyber AI Analyst war in der Lage, den gesamten Lebenszyklus des Angriffs über mehrere Wochen in Echtzeit zu verfolgen und die einzelnen Phasen des Angriffs zu einem kohärenten Sicherheitsvorfall zusammenzufügen.

Abbildung 1: Der Cyber AI Analyst zeigt die komplette Angriffskette auf

Neuer Name, gleiches Spiel

Bei diesem Angriff handelt es sich um einen weiteren Fall von Bedrohungsakteuren, die sehr gezielt vorgehen: Sie nutzen legitime Programme und Prozesse, die bereits in der Umgebung verwendet wurden, um bösartige Aktivitäten durchzuführen. Dies kann mit herkömmlichen Tools, die auf statischen Anwendungsfällen basieren und eine legitime RDP-Sitzung nicht von einer bösartigen unterscheiden können, sehr schwer zu erkennen sein.

Da cyberkriminelle Gruppen wie REvil weiterhin den Bemühungen der Strafverfolgungsbehörden trotzen, müssen Unternehmen mit KI-Technologie, die ihre Umgebung erlernt, aufrüsten. Autonomous Response wird bereits von Tausenden von Unternehmen in allen Bereichen der digitalen Infrastruktur eingesetzt - von E-Mail- und Cloud-Diensten bis hin zu Endgeräten, um Ransomware-Angriffe frühzeitig zu stoppen, bevor eine Verschlüsselung erfolgt.

Wir danken der Analystin Petal Beharry von Darktrace für ihren Einblick in die oben genannte Bedrohungslage.

Technische Einzelheiten

Darktrace Modell-Erkennungen:

  • Device / RDP Scan
  • Device / Bruteforce Activity
  • Compliance / Outbound Remote Desktop
  • Anomalous Connection / Upload via Remote Desktop
  • Anomalous Connection / Download and Upload
  • Anomalous Connection / Uncommon 1 GiB Outbound
  • Anomalous Connection / Active Remote Desktop Tunnel
  • Device / New or Uncommon SMB Named Pipe
  • Device / Large Number of Connections to New Endpoints

More in this series:

Keine Artikel gefunden.

Sie mögen das und wollen mehr?

Erhalten Sie den neuesten Blog per E-Mail
Vielen Dank! Ihre Anfrage ist eingegangen!
Huch! Beim Absenden des Formulars ist etwas schief gelaufen.
EINBLICKE IN DAS SOC-Team
Darktrace Cyber-Analysten sind erstklassige Experten für Threat Intelligence, Threat Hunting und Incident Response. Sie bieten Tausenden von Darktrace Kunden auf der ganzen Welt rund um die Uhr SOC-Support. Einblicke in das SOC-Team wird ausschließlich von diesen Experten verfasst und bietet Analysen von Cyber-Vorfällen und Bedrohungstrends, die auf praktischen Erfahrungen in diesem Bereich basieren.
AUTOR
ÜBER DEN AUTOR
Oakley Cox
Analyst Technical Director, APAC

Oakley is a technical expert with 5 years’ experience as a Cyber Analyst. After leading a team of Cyber Analysts at the Cambridge headquarters, he relocated to New Zealand and now oversees the defense of critical infrastructure and industrial control systems across the APAC region. His research into cyber-physical security has been published by Cyber Security journals and CISA. Oakley is GIAC certified in Response and Industrial Defense (GRID), and has a Doctorate (PhD) from the University of Oxford.

ANWENDUNGSFÄLLE
COre-Abdeckung
Dieser Artikel
Dem Ransomware-as-a-Service-Geschäftsmodell von REvil einen Schritt voraus sein
Teilen
Twitter-LogoLinkedIn-Logo

Gute Nachrichten für Ihr Unternehmen.
Schlechte Nachrichten für die Bösewichte.

Starten Sie Ihren kostenlosen Test

Starten Sie Ihren kostenlosen Test

Flexible Lieferung
Sie können es entweder virtuell oder mit Hardware installieren.
Schnelle Installation
Nur 1 Stunde für die Einrichtung - und noch weniger für eine Testversion der E-Mail-Sicherheit.
Wählen Sie Ihre Reise
Testen Sie selbstlernende KI dort, wo Sie sie am meisten brauchen - in der Cloud, im Netzwerk oder für E-Mail.
Keine Verpflichtung
Voller Zugriff auf den Darktrace Threat Visualizer und drei maßgeschneiderte Bedrohungsberichte, ohne Kaufverpflichtung.
Vielen Dank! Ihre Anfrage ist eingegangen!
Huch! Beim Absenden des Formulars ist etwas schief gelaufen.

Demo anfordern

Flexible Lieferung
Sie können es entweder virtuell oder mit Hardware installieren.
Schnelle Installation
Nur 1 Stunde für die Einrichtung - und noch weniger für eine Testversion der E-Mail-Sicherheit.
Wählen Sie Ihre Reise
Testen Sie selbstlernende KI dort, wo Sie sie am meisten brauchen - in der Cloud, im Netzwerk oder für E-Mail.
Keine Verpflichtung
Voller Zugriff auf den Darktrace Threat Visualizer und drei maßgeschneiderte Bedrohungsberichte, ohne Kaufverpflichtung.
Vielen Dank! Ihre Anfrage ist eingegangen!
Huch! Beim Absenden des Formulars ist etwas schief gelaufen.