Originalartikel von Trend Micro Research
(Update vom 22. Mai)
Am 7. Mai zwang eine Ransomware-Attacke Colonial Pipeline (wir berichteten bereits darüber), ein Unternehmen, das für fast die Hälfte der Treibstoffversorgung der US-Ostküste verantwortlich ist, den Betrieb vorsorglich einzustellen. Die Vorräte an Benzin, Diesel, Heizöl, Düsentreibstoff und Militärbedarf waren so stark betroffen, dass die Federal Motor Carrier Safety Administration (FMCSA) in 18 Bundesstaaten den Notstand ausrief, um die Engpässe zu beheben. Auch nach fünf Tagen konnte die Colonial Pipeline ihren Betrieb noch immer nicht vollständig wieder aufnehmen. Die Ausfälle beeinträchtigen bereits Autofahrer. Im Großraum Atlanta sind 30 % der Tankstellen ohne Benzin, und andere Städte melden ähnliche Zahlen. Hinter dem Angriff steckt laut FBI die cyberkriminelle Gruppe DarkSide, die mutmaßlich osteuropäische Wurzeln hat. Die verwendete Ransomware gehört zu einer relativ neuen Familie, die im August 2020 entdeckt wurde. Die Gruppe greift jedoch auf Erfahrungen aus früheren, finanziell erfolgreichen kriminellen Aktionen zurück. DarkSide hebt sich durch ein hohes Maß an Innovation von der Konkurrenz ab, da die Gruppe eine der ersten ist, die so genannte „vierfache Erpressungsdienste“ anbietet.
Neben der Sperrung der Computersysteme von Colonial Pipeline hat die Gruppe auch über 100 GB an Unternehmensdaten gestohlen. Dieser Diebstahl ist umso bemerkenswerter, da die Gruppe in der Vergangenheit ihre Opfer doppelt erpresst hat - das heißt, sie drohte auch, bei Nichtzahlung die gestohlenen Daten zu veröffentlichen.
Nun gab die Gruppe bekannt, drei weitere Opfer zu haben: ein Bauunternehmen mit Sitz in Schottland, einen Wiederverkäufer von Produkten für erneuerbare Energien in Brasilien und einen Wiederverkäufer von Technologiedienstleistungen in den USA. Die DarkSide-Akteure behaupteten, insgesamt 1,9 GB an Daten von diesen Unternehmen gestohlen zu haben, darunter sensible Informationen wie Kundendaten, Finanzdaten, Mitarbeiterausweise und Verträge.
Da Darkside im Geschäft mit Ransomware-as-a-Service (RaaS) tätig ist, könnten möglicherweise drei unterschiedliche Partner hinter den drei Angriffen stecken. Die DarkSide-Hintermänner selbst erklärten, lediglich Zugang zu Unternehmensnetzwerken zu kaufen — sie hätten keine Ahnung, wie der Zugang erworben wurde.
Trend Micro Research fand Dutzende von DarkSide Ransomware-Samples in freier Wildbahn und untersuchte, wie die Ransomware-Gruppe operiert und welche Organisationen sie typischerweise angreift.
DarkSide Ransomware
DarkSide bietet sein RaaS für einen Prozentsatz des Gewinns Partnern an. Die Gruppe stellt ein Paradebeispiel für moderne Ransomware dar, die mit einem fortschrittlicheren Geschäftsmodell arbeitet. Moderne Ransomware identifiziert hochwertige Ziele und beinhaltet eine präzisere Verwertung der kompromittierten Assets (mit doppelter Erpressung als Beispiel). Moderne Ransomware-Angriffe werden in der Regel auch von mehreren Gruppen durchgeführt, die zusammenarbeiten und den Gewinn aufteilen. Diese Angriffe gleichen eher APT-Angriffen (Advanced Persistent Threats) als traditionellen Ransomware-Ereignissen. Eine Historie der Malware liefert der Originalbeitrag.
Ursprünglicher Zugang
Unsere Analyse der DarkSide-Samples ergab, dass die Taktiken für den ersten Zugang aus Phishing, der Missbrauch des Remote-Desktop-Protokolls (RDP) und das Ausnutzen bekannter Schwachstellen bestehen. Während des gesamten Angriffsprozesses nutzt die Gruppe außerdem gängige, legitime Tools, um unentdeckt zu bleiben und ihren Angriff zu verschleiern. Während der Erkundungs- und Zugangsphasen fanden wir mehrere solcher Tools im Einsatz: für Erkundung PowerShell, Metasploit Framework, Mimikatz und BloodHound sowie Cobalt Strike für die Installation.
Bei moderner Ransomware wie DarkSide führt der Erstzugriff nicht mehr sofort zum Ablegen der Ransomware. Dazwischen liegen nun mehrere Schritte, die von einem Angreifer manuell ausgeführt werden. Dazu gehören die laterale Bewegung und Privilegienerhöhung, Exfiltrierung von kritischen Dateien für eine doppelte Erpressung sowie die Ausführung und Folgen.
Die Datenextraktion ist der riskanteste Schritt im Ransomware-Angriff, denn die Wahrscheinlich, bemerkt zu werden, ist hier am höchsten. DarkSide nutzt mehrere Tor-basierte Leak Sites, wo die gestohlenen Daten gehostet werden. Die genutzten Filesharing services für die Exfiltrierung umfassen Mega und PrivatLab.
Die Ausführung der eigentlichen Ransomware erfolgt als nächstes. Die DarkSide-Ransomware weist in diesem Schrittviele Ähnlichkeiten mit REvil auf, einschließlich der Struktur der Erpresserbriefe und der Verwendung von PowerShell zur Ausführung eines Befehls, der Schattenkopien aus dem Netzwerk löscht. Sie verwendet auch denselben Code, um zu prüfen, ob sich das Opfer nicht in einem Land der Gemeinschaft Unabhängiger Staaten (GUS) befindet.
Zusätzlich zu PowerShell für die Installation und den Betrieb der Malware setzt die Gruppe auch auf Certutil und Bitsadmin für das Herunterladen der Ransomware. Sie verwendet zwei Verschlüsselungsmethoden: Unter Linux ist es eine ChaCha20-Stream-Chiffre mit RSA-4096, unter Windows ist es Salsa20 mit RSA-1024. Interessanterweise ähnelt die Lösegeldforderung von DarkSide der von Babuk, was darauf hindeuten könnte, dass zwischen diesen beiden Familien eine Verbindung besteht.
DarkSide Ransomware-Ziele
Auf Grundlage der Tor-Leak-Sites bestimmt DarkSide, ob eine potenzielle Opferorganisation ins Visier genommen werden soll, indem in erster Linie die Finanzdaten im Fokus stehen. Sie nutzt diese Informationen auch, um die Höhe der Lösegeldforderung zu bestimmen, wobei eine typische Lösegeldforderung zwischen 200.000 und 2 Millionen US-Dollar liegt.
Trend Micro Research hat auf Grundlage der Tor-Leak-Sites mindestens 90 Opfer von DarkSide gefunden Insgesamt werden derzeit mehr als zwei TB an gestohlenen Daten auf DarkSide-Seiten gehostet, und 100 % der gestohlenen Dateien der Opfer sind geleakt. Die Akteure hinter Darkside erklärten, Angriffe auf Unternehmen in bestimmten Branchen zu vermeiden, darunter das Gesundheitswesen, das Bildungswesen, der öffentliche Sektor und der Non-Profit-Sektor. Organisationen in den Bereichen Fertigung, Finanzen und kritische Infrastruktur wurden in den Daten von Trend Micro als Ziele identifiziert.
Basierend auf den Daten von Trend Micro verzeichnen die USA mit mehr als 500 Erkennungen die meisten Vorfälle, gefolgt von Frankreich, Belgien und Kanada. Dass die Gruppe zugegebenermaßen Unternehmen in GUS-Ländern verschont, könnte ein Hinweis darauf sein, wo DarkSide-Akteure ansässig sind. Möglicherweise geht es darum, Strafverfolgungsmaßnahmen aus diesen Ländern zu vermeiden, da die Regierungen einiger dieser Länder kriminelle Handlungen wie die von DarkSide nicht verfolgen, wenn sie auf ausländische Ziele verübt werden.
Nach dem Angriff auf die Colonial Pipeline veröffentlichte DarkSide eine Erklärung auf einer ihrer Leak-Seiten, in der sie klarstellten, dass die Gruppe keine Probleme für die Gesellschaft schaffen wolle und dass ihr Ziel lediglich darin bestehe, Geld zu verdienen. Es gibt keine Möglichkeit, diese Aussage zu verifizieren, aber wir wissen, dass die Gruppe immer noch recht aktiv ist.
Das MITRE ATT&CK Framework beschreibt Taktiken und Techniken im Zusammenhang mit DarkSide.
Fazit
Ransomware-Akteure dringen nun tiefer in die Netzwerke ihrer Opfer ein und suchen nach neuen Möglichkeiten, ihre Aktivitäten zu monetarisieren. So kann beispielsweise ein kompromittierter Cloud-Server einen kompletten Angriffslebenszyklus durchlaufen, von der anfänglichen Kompromittierung über die Datenexfiltration bis hin zum Weiterverkauf oder der Nutzung für weitere Monetarisierung. Kompromittierte Unternehmensressourcen sind eine lukrative Ware auf Untergrundmärkten; Cyberkriminelle wissen genau, wie sie mit Angriffen auf Unternehmensserver Geld verdienen können.
Bei dem Angriff auf Colonial Pipeline setzte DarkSide auf doppelte Erpressung. Aber einige Ransomware-Akteure sind sogar noch weiter gegangen. Tatsächlich bietet DarkSide, wie in Sicherheitsberichten detailliert beschrieben, sowohl eine DDoS- als auch eine Call-Center-Option an. Die Gruppe stellt ihren Partnern vierfache Erpressung zur Verfügung -- ein klares Zeichen von Innovation. In der Cyberkriminalität gibt es keine Urheberrechts- oder Patentgesetze für Tools und Techniken. Bei der Innovation geht es ebenso darum, die besten Praktiken anderer schnell und vollständig zu kopieren, wie neue Ansätze zu entwickeln.
Lehren aus Colonial Pipeline-Angriff
In einer Anhörung des US-Senats zu Cybersecurity-Bedrohungen bezeichnete Senator Rob Portman aus Ohio den Angriff auf die Colonial Pipeline als „den potenziell umfangreichsten und zerstörerischsten Angriff auf kritische US-Infrastrukturen aller Zeiten.“ Dieser Angriff ist ein Aufruf zum Handeln für alle Organisationen, ihre Netzwerke gegen Angriffe zu härten und ihre Netzwerksichtbarkeit zu verbessern.
Ransomware wird sich natürlich weiterentwickeln. Deshalb müssen sich Unternehmen die Zeit nehmen, einen Incident Response-Plan aufzusetzen, der sich auf die neuen Modelle von Ransomware-Angriffen konzentriert. Leider schieben manche Organisationen dies auf die lange Bank. Beispielsweise berichteten Sicherheitsexperten, dass Colonial Pipeline unter anderem eine bereits früher ausgenutzte angreifbare Version von Microsoft Exchange einsetzte.
Trend Micro Vision One bietet eine mehrschichtige Cybersicherheitsplattform, die dabei helfen kann, die Erkennung und Reaktion auf die neuesten Ransomware-Angriffe zu verbessern und die Sichtbarkeit zu erhöhen.