Neue Ransomware-Variante könnte die nächste große Risiko werden

Sicherheitsteams in Unternehmen möchten notfalls “Yanluowang” zu welcher langen und wachsenden verkettete Liste von Ransomware-Bedrohungen hinzufügen, uff die sie berücksichtigen sollen.

Forscher von Symantec sagen, dass ein Bedrohungsakteur, welcher seitdem mindestens August gezielte Angriffe gegen US-Unternehmen durchführt, kürzlich damit begonnen hat, die neue Ransomware in seinen Kampagnen einzusetzen.

Jener Bedrohungsakteur wurde zuvor mit Angriffen in Zusammenhang gebracht, im Zusammenhang denen eine andere Ransomware-Familie namens Thieflock verwendet wurde, die jenseits eine Ransomware-as-a-Tafelgeschirr (RaaS)-Operation namens Canthroid-Menschenschlag verfügbar ist. Die Thieflock-Tochter scheint inzwischen uff den rivalisierenden Yanluowang-Ransomware-Stamm umgestiegen zu sein und ist derzeit die einzige Angriffsgruppe, die die Schadsoftware verwendet.

Zu den Zielgruppen in Besitz sein von Organisationen welcher Finanzdienstleistungsbranche sowie welcher Fertigungs-, IT-Dienstleistungs- und Maschinenbaubranchen.

Alan Neville, Bedrohungsanalyst im Threat Hunter-Team von Symantec, sagt, wenn die Autoren von Yanluowang wenn schon ein RaaS betreiben, dann ist es sehr wahrscheinlich, dass in Bälde wenn schon andere Gruppen die Schadsoftware verwenden werden.

„Zum Besten von uns ist die wichtigste Erkenntnis, dass Yanluowang sich uff dem Markt für jedes Cyberkriminalität zu etablieren scheint und im Zusammenhang potenziellen Kollaborateuren an Geltung gewinnt“, sagt Neville. “Wenn Yanluowang hier bleibt, um zu bleiben, sollten sich Organisationen mit den mit dieser Menschenschlag verbundenen TTPs vertraut zeugen und sicherstellen, dass sie gut aufgestellt sind, um sich gegen sie zu verteidigen.”

Yanluowang ist eine von zahlreichen neuen Ransomware-Varianten, die in diesem Jahr im Zuge welcher anhaltenden Deaktivierungen durch die Strafverfolgungsbehörden großer Ransomware-Betreiber aufgetaucht sind, wie sie z. B. hinter den Varianten REvil und Cl0p stillstehen. Erst solche Woche berichteten Red Canary-Forscher, dass sie vereinigen Bedrohungsakteur beobachtet nach sich ziehen, welcher die ProxyShell-Sicherheitslücken in Microsoft Exchange ausnutzt, um eine neue Ransomware-Variante namens BlackByte bereitzustellen, vor welcher wenn schon andere, wie etwa SpiderLabs von TrustWave, kürzlich gewarnt nach sich ziehen.

Doppelter Furor
Viele welcher neuen Ransomware-Stämme wurden im Zusammenhang sogenannten Double-Extortion-Angriffen eingesetzt, im Zusammenhang denen Bedrohungsakteure sensible Unternehmensdaten verschlüsselt und gestohlen sowie damit gedroht nach sich ziehen, die Fakten preiszugeben, um Geld von den Opfern zu erpressen.

Nachdem Datensammlung welcher NCC Group wurden einsam im zehnter Monat des Jahres weltweit 314 Organisationen Todesopfer von Doppelerpressungsangriffen – ein Zunahme von 65 % im Gegensatz zu dem Vormonat. Etwa 35 % welcher Todesopfer dieser Angriffe waren Organisationen welcher Industrie. Zu den schlimmsten Tätern gehörten Banden jenseits von Ransomware-Familien wie Lockbit, Conti, Hive und Blackmatter

Symantecs Untersuchung welcher Yanluowang-Aktivitäten ergab, dass die ehemalige Thieflock-Tochtergesellschaft in ihrer Kampagne zur Verbreitung welcher Ransomware eine Vielzahl legitimer und Open-Source-Tools einsetzt. Dazu gehörte die Verwendung von PowerShell zum Herunterladen einer Hintertür namens BazarLoader zur Unterstützung im Zusammenhang welcher ersten Erkundung und welcher anschließenden Zurverfügungstellung eines legitimen Fernzugriffstools namens ConnectWise.

Um sich seitwärts zu in Bewegung setzen und hochwertige Ziele wie den Active Directory-Server einer Organisation zu identifizieren, hat welcher Bedrohungsakteur Tools wie SoftPerfect Network Scanner und Adfind, ein kostenloses Tool zum Abrufen von AD, verwendet.

„Dies Tool wird x-fach von Bedrohungsakteuren missbraucht, um kritische Server in Unternehmen zu finden“, sagt Neville. “Dies Tool kann verwendet werden, um Informationen zu Maschinen im Netzwerk, Benutzerkontoinformationen und mehr zu extrahieren.”

Andere Tools, die welcher Angreifer im Zusammenhang Yanluowang-Angriffen verwendet, zusammenfassen mehrere für jedes den Raub von Anmeldeinformationen, wie GrabFF zum Verteilen von Passwörtern aus Firefox, ein ähnliches Tool für jedes Chrome namens GrabChrome und eines für jedes Netz Explorer und andere Browser namens BrowserPassView. Symantec-Forscher entdeckten wenn schon die ehemalige Thieflock-Tochtergesellschaft mit einem PowerShell-Skript namens KeeThief, um den Hauptschlüssel aus dem Open-Source-Passwortmanager KeePass und anderen Tools zu kopieren, um Fakten und Screenshots von kompromittierten Systemen zu stapeln.

Die häufige Nutzung kostenloser und Open-Source-Tools durch den Angreifer, von denen manche legitime Zwecke nach sich ziehen, steht im Einklang mit dem, welches andere Ransomware-Betreiber tun, sagt Neville.

„Im Allgemeinen verfolgen die meisten dieser Gruppen ähnlichen Mustern in Bezug uff Eindringmethoden, Systemerkennung, Techniken welcher seitlichen Fortbewegung und Zurverfügungstellung“, sagt er. “Die Zusammensetzung des Toolsets wird sich zwischen den Gruppen unterscheiden, nur die Taktiken sind oft ziemlich homolog.”

Ein dynamisches Jahr
Jener unerbittliche Ransomware-Übergriff zeigt kaum Evidenz einer Verlangsamung. Durchgreifende Strafverfolgungsbehörden und bessere Unternehmensverteidigungen nach sich ziehen viele Ransomware-Gruppen gezwungen, ihre Strategien weiterzuentwickeln und anzupassen, nur die Angriffe selbst nach sich ziehen sich nicht katastrophal verlangsamt.

Matt Hull, Weltumspannend Lead for Strategic Threat Intelligence im Zusammenhang welcher NCC Group, sagt, dass die Bedrohungslandschaft durch Ransomware in den letzten 12 Monaten sehr voll innerer Kraft war, teilweise aufgrund von Aktivitäten welcher Strafverfolgungsbehörden und teilweise aufgrund von Angriffen wie denen uff die Colonial Pipeline, die viel gesammelt nach sich ziehen welcher Zuwendung.

“Wir nach sich ziehen wenn schon gesehen, dass neue Spieler an den Tisch kamen”, bemerkt er. “Gleichwohl mit Vorfällen wie dem Colonial Pipeline-Übergriff und dem Kaseya-Zwischenfall ist dasjenige Problem welcher Ransomware in den Vordergrund welcher internationalen Strafverfolgungsbehörden und Regierungen gerückt, welches manche Ransomware-Betreiber dazu zwingt, ihre Stiefel aufzulegen.”

Wenn schon dasjenige Geschäftsmodell welcher Konzerne habe sich insgesamt verändert, stellt er stramm. Die meisten Gruppen „verwenden jetzt dasjenige ‚Hack-and-Leak‘-Geschäftsmodell, dasjenige manchmal wie doppelte Erpressung bezeichnet wird, und treten in die Fußstapfen welcher Maze Group, die dies schon 2019 taten“, sagt Hull.

Es ist schwierig, mit Sicherheit zu sagen, wie triumphierend Unternehmen hierbei waren, sich gegen Ransomware-Angriffe zu wehren, sagt Hull.

“Es ist jedoch lichtvoll, dass Unternehmen wirklich beginnen, die Schwere welcher Ransomware-Risiko zu verstehen”, sagt er.