Ransomware
Rapture-Ransomware mit Ähnlichkeit zu Paradise
Eine neu entdeckte Ransomware-Familie verfolgt einen minimalistischen Ansatz mit nur geringfügigem Fußabdruck und schnellen Angriffen. Welche Vorbereitungen trafen die Täter und wo liegen besondere Gefahren?
Save to Folio
Im März und April 2023 verfolgten wir einen Ransomware-Typus, der die Opfer über einen minimalistischen Ansatz mit Tools angreift, die nur einen geringfügigen Fußabdruck hinterlassen. Unsere Untersuchung zeigte, welche Vorbereitungen die Täter trafen und wie schnell es ihnen gelang, den Erpressungsangriff durchzuführen.
Der Speicher-Dump während der Ausführung der Ransomware zeigt eine RSA-Schlüssel-Konfigurationsdatei, die der von der Paradise-Ransomware verwendeten ähnelt. Um die Analyse zu erschweren, verpackten die Angreifer die Ransomware mit Themida, einem kommerziellen Packer. Die Malware benötigt mindestens ein .NET 4.0-Framework, um ordnungsgemäß ausgeführt werden zu können. Dies deutet auf weitere Ähnlichkeiten mit Paradise hin. Von der Malware ist bekannt, dass sie als ausführbare .NET-Datei kompiliert wurde. Aus diesem Grund haben wir diesen Ransomware-Typ als Rapture bezeichnet, eine eng mit Paradise verwandte Nomenklatur. Doch trotz aller Ähnlichkeiten unterscheidet sich das Verhalten von Rapture von Paradise.
Angriffsablauf
Wir entdeckten einige Ransomware-Aktivitäten, die anscheinend in legitime Prozesse eingeschleust werden. Bei der Rückverfolgung dieser Aktivitäten zum Ursprungsprozess stellten wir fest, dass die Ransomware als Aktivität auftrat, die von einem Cobalt Strike-Beacon in den Speicher geladen wurde. In einigen Fällen legten die Angreifer die Erpressersoftware in einem Ordner oder auf einem Laufwerk als *.log-Datei ab. Die Ransomware legt ihre Nachrichten in jedes durchquerte Verzeichnis (die ersten sechs Zeichen scheinen zufällig zu sein, sind aber in Wirklichkeit hart kodierte String-Konfigurationen): 7qzxid-README.txt oder qiSgqu-README.txt.
Rapture benötigt bestimmte Befehlszeilen, um korrekt ausgeführt zu werden. Sobald das richtige Argument an die bösartige Datei übergeben wird, startet sie die Erpressungs-Routine, die auch in ihrem Konsolenfenster angezeigt wird.
Die Lösegeldforderung hat eine gewisse Ähnlichkeit mit der Zeppelin-Ransomware (obwohl wir glauben, dass dies die einzige Verbindung zwischen den beiden ist). Aufgrund weiterer Informationen in der Erpresserbotschaft stellten wir fest, dass es Rapture schon seit einiger Zeit gibt, aber bei ihrer ersten Sichtung keine Samples verfügbar waren.
Unsere Untersuchung zeigt auch, dass sich die gesamte Infektionskette über drei bis maximal fünf Tage erstreckt (ab dem Zeitpunkt der Entdeckung der Erkundungsbefehle). Die Betreiber von Rapture führen zunächst die folgenden Schritte aus, wahrscheinlich um einen erfolgreicheren Angriff zu gewährleisten:
- Inspektion der Firewall-Richtlinien
- Prüfen der PowerShell-Version
- Suche nach angreifbaren Log4J Applets
Nach einer erfolgreichen Erkundungsroutine fahren die Angreifer mit der ersten Phase des Angriffs fort, indem sie ein PowerShell-Skript herunterladen und ausführen, um Cobalt Strike auf dem System des Ziels zu installieren. Weitere technische Einzelheiten zum Ablauf des Angriffs beinhaltet der Originalbeitrag.
Fazit
Die Rapture-Ransomware ist raffiniert konzipiert und weist einige Ähnlichkeiten mit anderen Familien wie Paradise auf. Obwohl die Betreiber Tools und Ressourcen verwenden, die leicht verfügbar sind, haben sie es geschafft, diese so zu nutzen, dass sie die Fähigkeiten von Rapture verbessern, indem sie die Malware weiter tarnen und schwieriger zu analysieren machen. Wie bei vielen modernen Familien wird diese Art ausgeklügelter Ransomware in vielen aktuellen Kampagnen allmählich zur Norm.
Empfehlungen und Lösungen
Um ihre Systeme vor Ransomware-Angriffen zu schützen, können Unternehmen Sicherheits-Frameworks implementieren, die systematisch Ressourcen zuweisen, um eine robuste Verteidigungsstrategie zu entwickeln. Hier sind einige empfohlene Richtlinien, die Unternehmen berücksichtigen sollten:
- Führen Sie eine Bestandsaufnahme der Assets und Daten durch.
- Identifizieren Sie autorisierte und nicht autorisierte Geräte und Software.
- Auditieren Sie Events und Vorfalls-Logs.
- Managen Sie Hardware- und Software-Konfigurationen.
- Gewähren Sie Administratorrechte und Zugriff nur dann, wenn dies für die Rolle eines Mitarbeiters erforderlich ist.
- Monitoren Sie Netzwerk-Ports, Protokolle und Services.
- Erstellen Sie eine Software-Freigabeliste, die nur die Ausführung legitimer Anwendungen zulässt. Implementieren Sie Maßnahmen zum Schutz, zur Sicherung und zur Wiederherstellung von Daten.
- Führen Sie Multifaktor-Authentifizierung (MFA) ein.
- Stellen Sie die neuesten Versionen von Sicherheitslösungen für alle Systemebenen bereit, einschließlich Mail, Endgeräte, Web und Netzwerk.
- Achten Sie auf frühe Anzeichen eines Angriffs, wie z. B. das Vorhandensein von verdächtigen Tools im System.
Unternehmen können zudem einen vielschichtigen Sicherheitsansatz anwenden, um potenzielle Eintrittspunkte in ihre Systeme zu schützen, z. B. Endpunkte, Mails, Websites und Netzwerke. Durch den Einsatz von Sicherheitslösungen, die bösartige Elemente und fragwürdige Aktivitäten erkennen können, schützen sich Unternehmen vor Ransomware-Angriffen.
Hier finden Sie die Indicators of Compromise für diese Angriffe.