Technologie
Produkte
Branchen
Aktuelles
Infomaterial
Unternehmen
Deutsch
Technologie
Produkte
Branchen
Aktuelles
Blog
Infomaterial
Unternehmen

„Double Extortion“-Ransomware

Brianna Leddy, Director of Analysis | Mittwoch, 19. Mai 2021

Vor eineinhalb Jahren gab es nur einen einzigen Vorfall, bei dem „Double Extortion“-Ransomware eingesetzt wurde, um das Opfer doppelt zu erpressen. Inzwischen nutzen über 16 Ransomware-Gruppen diese Taktik aktiv. Wie funktioniert sie und warum wird sie immer beliebter?

Was ist „Double Extortion“-Ransomware?

Bisher wurde Ransomware vor allem dafür eingesetzt, Dateien schnell mithilfe bösartiger Programme durch Public-Key-RSA-Kryptografie zu verschlüsseln und dann zu löschen, sofern das Opfer das Lösegeld nicht bezahlte.

Nach den berüchtigten Ransomware-Angriffen WannaCry und NotPetya im Jahr 2017 verstärkten Unternehmen jedoch ihre Cyberabwehr. Es wurde mehr Wert auf Backups und Wiederherstellungsprozesse gelegt, sodass Unternehmen selbst bei zerstörten Dateien über Kopien für eine schnelle Wiederherstellung verfügten.

Doch auch die Cyberkriminellen haben ihre Methoden angepasst. Anstatt Dateien einfach nur zu verschlüsseln, exfiltriert „Double Extortion“-Ransomware nun zuerst die Daten. Das heißt, wenn das Unternehmen eine Lösegeldzahlung verweigert, können die Informationen online veröffentlicht oder an den Meistbietenden versteigert werden. Plötzlich wurden all die Backups und Datenwiederherstellungspläne wertlos.

Maze-Ransomware und Co.

Ende 2019 tauchte die Ransomware Maze als erster aufsehenerregender Fall von Doppelerpressung auf. Weitere Ableger folgten schon bald, darunter der Angriff Sodinokibi – der das Devisenunternehmen Travelex lahmlegte – am Silvestertag.

Bis Mitte 2020 waren Hunderte von Unternehmen Doppelerpressungsangriffen zum Opfer gefallen, verschiedene Websites im Darknet ließen Unternehmensdaten durchsickern und das Geschäft mit Ransomware-as-a-Service boomte, da Entwickler neue Arten von Malware verkauften und vermieteten.

Daneben gingen Cyberkriminelle dazu über, Sicherheitsvorschriften als Waffe zu nutzen: Angesichts hoher drohender Geldbußen bei Verstößen (z.B. gegen CCPA, DSGVO, NYSDFS-Vorschriften) konnten sie ihren Opfern ein unter der Strafzahlung liegendes Lösegeld bei gleichzeitigem Stillschweigen abringen.

Im Jahr 2020 gab es verteilt auf 63 Länder insgesamt 1.200 Fälle von Doppelerpressung mit Ransomware, von denen über 60% auf die USA und Großbritannien entfielen.

Obwohl regelmäßig neue Gesetze verfasst werden, um solche Angriffe zu bekämpfen, nehmen sie nicht ab. Einer aktuellen Studie des britischen RUSI zufolge kam es allein im Jahr 2020 in 63 verschiedenen Ländern zu 1.200 Fällen von Doppelerpressung mit Ransomware. 60% davon waren gegen Organisationen mit Hauptsitz in den USA gerichtet, die zweithöchste Anzahl von Angriffen hatte Großbritannien zu verzeichnen.

Letzten Monat veröffentlichte die Cyberkriminellenbande REvil auf ihrer Website „Happy Blog“ Details zu Apples neuem Macbook Pro, drohte mit der Veröffentlichung weiterer Baupläne und forderte ein Lösegeld von 50 Millionen US-Dollar. Und vergangene Woche zahlte Colonial Pipeline angeblich 5 Millionen US-Dollar in Bitcoin als Folge eines verheerenden OT-Ransomware-Angriffs.

Anatomie eines Ransomware-Angriffs mit Doppelerpressung

Darktrace hat im letzten Jahr einen enormen Anstieg von Angriffen mit „Double Extortion“-Ransomware festgestellt, zuletzt bei einem Energieunternehmen in Kanada. Die Hacker hatten eindeutig ihre Hausaufgaben gemacht, den Angriff genau auf das Unternehmen zugeschnitten und waren nach dem Eindringen schnell und unauffällig vorgegangen. Im Folgenden sehen Sie eine Zeitleiste dieses realen Vorfalls, der sich größtenteils innerhalb von 24 Stunden ereignete.

Abbildung 1: Zeitlicher Ablauf des Angriffs

Darktrace erkannte jedes Stadium des Eindringens und benachrichtigte das Sicherheitsteam mit Warnmeldungen hoher Priorität. Mit einer aktiven Installation von Darktrace Antigena in der Umgebung wäre der befallene Server isoliert worden, sobald sein anormales Verhalten einsetzte, und die Ausbreitung der Infektion hätte verhindert werden können.

Verschlüsselung und Exfiltration

Der genaue Einfallort der Infektion ist nicht bekannt, doch das Administratorkonto wurde höchstwahrscheinlich über einen Phishing-Link oder unter Ausnutzung einer Schwachstelle kompromittiert. Dies verdeutlicht den Trend weg von den weit verbreiteten „Spray and Pray“-Ransomware-Kampagnen des vergangenen Jahrzehnts hin zu einem gezielteren Ansatz.

Die Cyber-KI identifizierte einen internen Server, der das Netzwerk auf ungewöhnliche Weise scannte und versuchte, sich darin mithilfe des Remote Desktop Protocol (RDP) lateral zu bewegen. Die kompromittierten Admin-Anmeldedaten wurden verwendet, um sich schnell vom Server auf ein anderes internes Gerät, „serverps“, auszubreiten.

Das Gerät „serverps“ initiierte eine ausgehende Verbindung zu TeamViewer, einem seriösen Dateispeicherdienst, die fast 21 Stunden lang aktiv war. Diese Verbindung wurde zur Fernsteuerung des Geräts und zur Einleitung der nachfolgenden Angriffsphasen genutzt. Obwohl TeamViewer in der digitalen Umgebung des Unternehmens kaum verbreitet war, wurde die Verbindung von keiner der bestehenden Abwehrmaßnahmen blockiert.

Das Gerät stellte dann eine Verbindung zu einem internen Dateiserver her, lud 1,95 TB an Daten herunter und die gleiche Datenmenge auf pcloud[.]com hoch. Diese Exfiltration fand während der Arbeitszeit statt, parallel zu den regulären Admin-Aktivitäten.

Zudem wurde über das Gerät offenbar Rclone-Software heruntergeladen – ein Open-Source-Tool, das möglicherweise dazu diente, Daten automatisch mit dem legitimen Dateispeicherdienst pCloud zu synchronisieren.

Die kompromittierten Admin-Anmeldeinformationen ermöglichten dem Eindringling während dieser Zeit eine ungehinderte laterale Fortbewegung im Unternehmensnetzwerk. Nach Abschluss der Datenexfiltration begann das Gerät „serverps“ schließlich, Dateien auf 12 Geräten mit der Erweiterung *.06d79000 zu verschlüsseln.

Wie bei Ransomware-Vorfällen meist üblich, erfolgte die Verschlüsselung außerhalb der Geschäftszeiten – über Nacht in Ortszeit –, um die Wahrscheinlichkeit eines schnellen Eingreifens des Sicherheitsteams zu minimieren.

KI-gestützte Untersuchung

Cyber AI Analyst meldete vier Vorfälle im Zusammenhang mit dem Angriff, wies das Sicherheitsteam auf das verdächtige Verhalten hin und erstellte einen Bericht über die betroffenen Geräte zur sofortigen Behebung. Dank dieser präzisen Berichterstattung konnte das Sicherheitsteam das Ausmaß der Infektion schnell erkennen und entsprechend reagieren.

Abbildung 2: Auflistung von Cyber AI Analyst über die Vorfälle einer Woche

Untersuchung durch Cyber AI Analyst auf Anforderung

Nach einer weiteren Analyse am 13. März nutzte das Sicherheitsteam Cyber AI Analyst für On-Demand-Untersuchungen der kompromittierten Admin-Anmeldeinformationen in Microsoft 365 sowie eines weiteren Geräts, das als potenzielle Bedrohung identifiziert wurde.

Cyber AI Analyst erstellte einen Vorfall für jenes andere Gerät, was zur Identifizierung ungewöhnlicher Port-Scans während des Infektionszeitraums führte. Das Gerät wurde umgehend vom Netzwerk getrennt.

Abbildung 3: Von Cyber AI Analyst gemeldeter Vorfall für ein kompromittiertes Gerät, der einen ungewöhnlichen internen Download beschreibt.

Doppelte Probleme

Durch den Einsatz legitimer Tools und „Living off the Land“-Techniken (unter Verwendung von RDP und kompromittierten Admin-Anmeldeinformationen) konnten die Eindringlinge den Großteil des Angriffs in weniger als 24 Stunden durchführen. Indem sie TeamViewer als legitime Dateispeicherlösung für die Datenexfiltration ausnutzten, anstatt sich auf eine bekannte „böse“ oder frisch registrierte Domain zu verlassen, umgingen die Hacker mühelos alle bestehenden signaturbasierten Abwehrmaßnahmen.

Wenn Darktrace diesen Einbruch nicht entdeckt und das Sicherheitsteam nicht sofort alarmiert hätte, hätte der Angriff nicht nur zu einem Zugriffsverlust führen können, bei dem die Mitarbeiter von ihren Dateien ausgesperrt worden wären, sondern auch zu einem Verlust sensibler Daten. Die KI-Software ging noch einen Schritt weiter und verschaffte dem Team mit automatischen Untersuchungen und On-Demand-Reporting einen wichtigen Zeitpuffer.

Bei „Double Extortion“-Ransomware gibt es noch viel mehr zu verlieren. Die Exfiltration stellt eine weitere Risikoebene dar, die zur Gefährdung von geistigem Eigentum, Rufschädigung und Bußgeldern führt. Sobald eine Hackergruppe in den Besitz der Daten gekommen ist, kann sie leicht weitere Zahlungen fordern. Daher ist es wichtig, solchen Situationen vorzubeugen und proaktiv Cybersicherheitsmaßnahmen zu implementieren, die Bedrohungen erkennen und sofort autonom auf sie reagieren können.

Erfahren Sie mehr über „Double Extortion“-Ransomware

IoCs:

IoCKommentar
api[.]pcloud[.]comCloud-Speicherung exfiltrierter Daten
downloads[.]rclone[.]orgRClone-Software heruntergeladen zur Ermöglichung der Exfiltration
162.250.6[.]138 (AS42473 ANEXIA Internetdienstleistungs GmbH)TeamViewer-IP für Fernzugriff verwendet

Abweichungen von Darktrace Modellen:

  • Device / Suspicious Network Scan Activity
  • Device / RDP Scan
  • Device / Network Scan
  • Anomalous Connection / Unusual Admin SMB Session
  • Anomalous Connection / Unusual Admin RDP Session
  • Device / Multiple Lateral Movement Model Breaches
  • User / New Admin Credentials on Client
  • Anomalous Connection / Uncommon 1 GiB Outbound
  • Anomalous Connection / Low and Slow Exfiltration
  • Device / Anomalous SMB Followed By Multiple Model
  • Anomalous Connection / Download and Upload
  • Anomalous Connection / Suspicious Activity On High Risk Device
  • Anomalous File / Internal::Additional Extension Appended to SMB File
  • Compromise / Ransomware::Suspicious SMB Activity
  • Anomalous Connection / Sustained MIME Type Conversion
  • Device / Anomalous RDP Followed By Multiple Model Breaches
  • Anomalous Connection / Suspicious Read Write Ratio
  • Device / Large Number of Model Breaches

Brianna Leddy

Based in San Francisco, Brianna is Director of Analysis at Darktrace. She joined the analyst team in 2016 and has since advised a wide range of enterprise customers on advanced threat hunting and leveraging Self-Learning AI for detection and response. Brianna works closely with the Darktrace SOC team to proactively alert customers to emerging threats and investigate unusual behavior in enterprise environments. Brianna holds a Bachelor’s degree in Chemical Engineering from Carnegie Mellon University.