Ransomware mit Teilverschlüsselung

Katzen tarnen sich gut: Die Sicherheitsforscher von SentinelLabs, der Forschungsabteilung von SentinelOne, beobachten einen neuen Trend in der Ransomware-Szene: die intermittierende Verschlüsselung oder die teilweise Verschlüsselung der Dateien der Opfer. Diese Verschlüsselungsmethode hilft Ransomware-Hackern, Erkennungssysteme zu umgehen und die Dateien der Opfer schneller zu verschlüsseln. Es wird deutlich, dass die Hacker diese Funktion zunehmend übernehmen und intensiv für die intermittierende Verschlüsselung werben, um Käufer oder Partner anzulocken.

Die intermittierende Verschlüsselung bietet Ransomware-Erpressern zwei wesentliche Vorteile:

  1. Geschwindigkeit: Die Verschlüsselung kann ein zeitintensiver Prozess sein, und Zeit ist für Ransomware-Betreiber entscheidend – je schneller sie die Dateien der Opfer verschlüsseln, desto unwahrscheinlicher ist es, dass sie dabei entdeckt und gestoppt werden. Eine intermittierende Verschlüsselung richtet in sehr kurzer Zeit unwiederbringlichen Schaden an.
  2. Umgehung: Ransomware-Erkennungssysteme können statistische Analysen verwenden, um den Einsatz von Ransomware zu erkennen. Eine solche Analyse kann die Intensität von Datei-IO-Operationen oder die Ähnlichkeit zwischen der bekannten Version einer Datei, die nicht von Ransomware betroffen war, und einer mutmaßlich veränderten, verschlüsselten Version der Datei bewerten.

Im Folgenden soll ein Überblick über verschiedene Ransomware-Familien gegeben werden, die bereits Einsatz von intermittierender Verschlüsselung machen:

Qyick

Ende August 2022 beobachteten die Forscher von SentinelLabs einen Benutzer namens lucrostm, der in einem beliebten TOR-basierten Verbrecherforum für eine neue kommerzielle Ransomware namens Qyick warb. Derselbe Benutzer agiert auch als ein etablierter Anbieter anderer bösartiger Tools, darunter Remote-Access-Tools und Malware-Loader. Das Ransomware-Angebot von Qyick ist ein einmaliger Kauf, im Gegensatz zu dem üblichen Abonnement-Modell. Der Preis liegt zwischen 0,2 BTC und etwa 1,5 BTC, je nachdem, welche Anpassungen der Käufer wünscht. Der Käufer erhält eine kompilierte ausführbare Datei mit einer Garantie: Wenn die Ransomware innerhalb von 6 Monaten nach dem Kauf von einer Sicherheitssoftware erkannt wird, stellt der Autor ein neues Muster mit einem Preisnachlass zwischen 60 % und 80 % des ursprünglichen Preises zur Verfügung.

BlackCat (ALPHV)

Die Ransomware BlackCat (oder ALPHV) trat Ende 2021 in Erscheinung und ist die erste bekannte Ransomware, die in der Programmiersprache Rust geschrieben wurde. Die Entwickler hinter BlackCat wurden erstmals Anfang Dezember 2021 in einem russischen Untergrundforum gesichtet, wo sie für ihre Dienste warben.

Die ALPHV-Bedrohungsgruppe betreibt ein Ransomware-as-a-Service (RaaS)-Programm und teilt Lösegeldzahlungen mit Partnern. ALPHV nutzt Bulletproof Hosting zum Hosten ihrer Websites und einen Bitcoin-Mixer zur Anonymisierung von Transaktionen.

Die ALPHV-Bedrohungsgruppe hat schon früh Erpressungsmethoden angewandt, wie z. B. die Bedrohung von Opfern mit DDoS-Angriffen, die Weitergabe von exfiltrierten Daten im Internet sowie die Einschüchterung von Mitarbeitern und Kunden der Opferorganisationen, falls diese kein Lösegeld zahlen. Große Organisationen und Unternehmen waren weltweit das Ziel der BlackCat-Ransomware.

Agenda

Die Ransomware Agenda, die erstmals im August 2022 entdeckt wurde, ist in Go geschrieben und wurde hauptsächlich für Angriffe auf Gesundheits- und Bildungseinrichtungen in Afrika und Asien eingesetzt. Die Ransomware verfügt über einige Anpassungsoptionen, darunter die Änderung der Dateinamenerweiterungen der verschlüsselten Dateien und die Liste der zu beendenden Prozesse und Dienste. Die ALPHV-Bedrohungsgruppe betreibt ein Ransomware-as-a-Service (RaaS)-Programm und teilt Lösegeldzahlungen mit Partnern.

PLAY

PLAY Ransomware ist ein Neueinsteiger in der Szene und wurde erstmals Ende Juni 2022 entdeckt. Die Ransomware hat in letzter Zeit hochkarätige Ziele heimgesucht, wie z. B. den Gerichtshof von Córdoba in Argentinien im August 2022. Der Erpresserbrief von PLAY besteht aus einem einzigen Wort – PLAY – und einer Kontakt-E-Mail-Adresse. Im Gegensatz zu Agenda und BlackCat verfügt die Ransomware PLAY nicht über Verschlüsselungsmodi, die vom Anwender konfiguriert werden können. PLAY führt eine intermittierende Verschlüsselung durch, die sich nach der Größe der zu verschlüsselnden Datei richtet, und verschlüsselt Teile der Datei (Chunks) von 0x100000 Bytes.

Black Basta

Black Basta ist ein RaaS-Programm, das erstmals im April 2022 auftauchte und dessen Ransomware-Samples bis Februar 2022 zurückreichen. Aktuelle Erkenntnisse deuten darauf hin, dass Black Basta aus der zerfallenen Asche der Conti-Operation entstanden ist. Die Ransomware ist in der Programmiersprache C++ geschrieben und unterstützt die Betriebssysteme Windows und Linux. Die Betreiber von Black Basta wenden doppelte Erpressung an und drohen ihren Opfern mit der Veröffentlichung der exfiltrierten Daten auf der TOR-basierten Website Basta News, sollten die Opfer das Lösegeld nicht zahlen.

Fazit

Intermittierende Verschlüsselung stellt ein sehr nützliches Werkzeug für Ransomware-Entwickler dar. Diese Verschlüsselungsmethode hilft dabei, einige Ransomware-Erkennungsmechanismen zu umgehen und die Dateien der Opfer schneller zu verschlüsseln. In Anbetracht der erheblichen Vorteile, für die Bedrohungsakteure, und der praktischen Umsetzung gehen Sicherheitsexperten davon aus, dass die intermittierende Verschlüsselung in Zukunft von immer mehr Ransomware-Familien eingesetzt werden wird.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago