Lazarus experimentiert mit neuer Ransomware

Die cyberkriminelle Lazarus Gruppe verwendet traditionelle APT-Techniken zur Verbreitung von VHD-Ransomware.

Die Lazarus-Gruppe hat sich immer durch die Nutzung von Methoden, die typisch für APT-Angriffe sind, aber auf finanzielle Cyberkriminalität ausgerichtet ist, ausgezeichnet. Kürzlich entdeckten unsere Experten frische, bisher unerforschte VHD-Malware, mit der Lazarus anscheinend experimentiert.

Funktionell gesehen ist VHD ein ziemlich standardmäßiges Ransomware-Tool. Es schleicht sich durch die Laufwerke, die an den Computer eines Opfers angeschlossen sind, verschlüsselt Dateien und löscht alle Ordner mit System-Volume-Informationen (und sabotiert dadurch Systemwiederherstellungsversuche in Windows). Darüber hinaus kann es Prozesse unterbrechen, die wichtige Dateien potenziell vor Änderungen schützen könnten (wie Microsoft Exchange oder SQL Server).

Wirklich interessant ist jedoch die Art und Weise, wie VHD auf die Zielcomputer gelangt, denn die Übertragungsmechanismen haben mehr mit APT-Angriffen zu tun. Unsere Experten untersuchten kürzlich einige VHD-Fälle und analysierten die Aktionen der Angreifer in jedem dieser Angriffe.

Seitliche Ausbreitung durch das Netzwerk des Opfers

Im ersten Vorfall wurde die Aufmerksamkeit unserer Experten auf den bösartigen Code gelenkt, der für die Verbreitung von VHD über das Zielnetzwerk verantwortlich ist. Es stellte sich heraus, dass die Ransomware über Listen mit den IP-Adressen der Computer des Opfers sowie über Zugangsdaten für Konten mit Administratorrechten verfügte. Sie benutzte diese Daten für Brute-Force-Angriffe auf den SMB-Dienst. Wenn es der Malware gelang, sich über das SMB-Protokoll mit dem Netzwerkordner eines anderen Computers zu verbinden, kopierte und führte sie sich selbst aus und verschlüsselte dabei auch diesen Computer.

Ein solches Verhalten ist nicht sehr typisch für Massen-Ransomware. So muss zumindest eine vorläufige Ausspähung der Infrastruktur des Opfers vorliegen, die eher für APT-Kampagnen charakteristisch ist.

Infektionskette

Als unser Global Emergency Response Team das nächste Mal während einer Untersuchung auf diese Ransomware stieß, konnten die Forscher die gesamte Infektionskette zurückverfolgen. Wie sie berichteten, haben die Cyberkriminellen

  1. Durch Ausnutzung eines anfälligen VPN-Gateways Zugang zu den Systemen der Opfer erlangt;
  2. Admin-Rechte auf den kompromittierten Rechnern erhalten;
  3. Eine Backdoor installiert;
  4. Die Kontrolle über den Active Directory-Server übernommen;
  5. Alle Computer im Netzwerk mit der VHD-Ransomware unter Verwendung eines speziell für diese Aufgabe geschriebenen Loaders infiziert.

Weitere Untersuchungen der eingesetzten Werkzeuge ergaben, dass die Backdoor Teil des plattformübergreifenden MATA-Frameworks (den einige unserer Kollegen als Dacls bezeichnen) ist. Wir sind zu dem Schluss gekommen, dass es sich um ein weiteres Lazarus-Tool handelt.

Sie finden eine detaillierte technische Analyse dieser Tools zusammen mit Kompromittierungsindikatoren im entsprechenden Beitrag auf unserem Securelist Blog.

Wie Sie Ihr Unternehmen schützen

Die VHD-Ransomware sind keine Amateure, wenn es darum geht, Firmencomputer mit einem Verschlüsseler zu infizieren. Die Malware ist nicht allgemein in Hackerforen verfügbar, sondern wird speziell für gezielte Angriffe entwickelt. Die Techniken, die verwendet werden, um in die Infrastruktur des Opfers einzudringen und sich innerhalb des Netzwerks zu verbreiten, erinnern an ausgeklügelte APT-Angriffe.

Diese allmähliche Verwischung der Grenzen zwischen Finanz-Cyberkriminalitätstools und APT-Angriffen ist ein Beweis dafür, dass auch kleinere Unternehmen den Einsatz fortschrittlicherer Sicherheitstechnologien in Betracht ziehen müssen. In Betracht dessen haben wir kürzlich eine integrierte Lösung vorgestellt, die sowohl die Endpoint Protection Platform (EPP) als auch die Endpoint Detection and Response (EDR)-Funktion umfasst. Weitere Informationen über die Lösung finden Sie auf der Produktseite.

Tipps