Diese sehr gezielten Kampagnen wurden in mehreren Phasen über Wochen beziehungsweise Monate durchgeführt und zielten auf den Diebstahl und die Verschlüsselung sensibler Daten einschließlich Backups ab. Obgleich die Opfer über umfangreiche Cybersicherheitslösungen verfügten, hatten sie dennoch Schwierigkeiten bei der Identifizierung und folglich auch Abwehr der Attacken. 

Hierzu trägt vor allem das hochentwickelte Vorgehen der Angreifer bei: So halten sie sich vor der Verschlüsselung der Dateien außergewöhnlich lange in den angegriffenen Netzwerken auf, um möglichst unauffällig besonders lohnende Dateien zu identifizieren und zu exfiltrieren. Die Angreifer setzen dabei auf die neue Methode des RDP-over-TOR, bei der Traffic wie https-Traffic erscheint, allerdings TOR-Traffic zu Onion-Nodes darstellt. Auch werden bei jedem Angriff unterschiedliche Command and Control-Server, Beacons und individueller Code verwendet. Auffällig ist zudem, dass die Angriffe meist über kompromittierte Partner und Auftragnehmer erfolgen, da die Cyberkriminellen offensichtlich davon ausgehen, dass hier das Sicherheitsniveau in der Regel niedriger als bei den eigentlichen Zielen ist. 

„Unser IRT hat festgestellt, dass sich der Code sowie die Techniken und Taktiken der Angreifer stets weiterentwickeln und jeder Angriff letztlich einzigartig ist“, erklärt Michael Scheffler, Country Manager DACH von Varonis Systems. „Auch das kürzlich vorgestellte Darkside Decryption Tool von Bitdefender hilft bei den neueren Angriffen nicht weiter.“ Die eingesetzten Tarn-Taktiken umfassen unter anderem Command and Control over TOR, das Meiden von Nodes, die mit EDR gesichert werden, sowie das Löschen von Log-Dateien. Die Angreifer lassen sich sehr viel Zeit und führen auffälligere Aktionen erst in späten Phasen des Angriffs durch. Hier greifen sie auch Anmeldeinformationen ab, die in Dateien, im Speicher und auf Domain-Controllern gespeichert sind, nutzen Dateifreigaben zur Verteilung von Angriffstools und zum Speichern von Dateiarchiven und löschen zudem Backups (einschließlich Schattenkopien). „Eine Entdeckung dieser sehr fortschrittlichen Angriffe ist nur durch eine intelligente Verhaltensanalyse möglich. Dies zeigt sich insbesondere bei lateralen Bewegungen: Ein kompromittiertes Konto kann hierzu durchaus berechtigt sein. Sind solche Aktionen für den betreffenden Nutzer jedoch ungewöhnlich. Hat er dies noch nie gemacht, schlagen diese Systeme Alarm und die Sicherheitsteams können der Sache schnell auf den Grund gehen“, so Scheffler. 

Was ist Darkside, Inc.? 

Die Darkside-Ransomware-Gruppe kündigte ihr Ransomware-as-a-Service-Modell im August 2020 in einer „Pressemitteilung“ an. Seitdem ist sie durch professionelle Operationen und hohe Lösegeldforderungen auffällig geworden. Die Cyberkriminellen agieren hochprofessionell und treten wie ein Unternehmen auf („Darkside, Inc.“), das unter anderem Web-Chat-Support sowie gewisse „Garantieleistungen“ anbietet. Vor einem Angriff erstellen sie umfangreiche Finanzanalysen der potenziellen Opfer, um so nur besonders lohnende, finanzkräftige Ziele zu attackieren. Gleichwohl bemühen sie sich auch um ein positives Image, indem sie öffentlich bekanntgegeben haben, keine Krankenhäuser, Schulen, gemeinnützige Einrichtungen und Regierungen anzugreifen, und angeblich einen Teil ihrer Einnahmen wohltätigen Zwecken zukommen lassen. Das Reverse Engineering von Varonis hat ergeben, dass die Malware von Darkside die Spracheinstellungen der Geräte überprüft, um sicherzustellen, dass sie keine in Russland ansässigen Unternehmen angreift. 

Quelle: https://www.itsicherheit-online.com/blog/detail/sCategory/725/blogArticle/5581

Post Views: 974