Katzen tarnen sich gut: Die Sicherheitsforscher von SentinelLabs, der Forschungsabteilung von SentinelOne, beobachten einen neuen Trend in der Ransomware-Szene: die intermittierende Verschlüsselung oder die teilweise Verschlüsselung der Dateien der Opfer. Diese Verschlüsselungsmethode hilft Ransomware-Hackern, Erkennungssysteme zu umgehen und die Dateien der Opfer schneller zu verschlüsseln. Es wird deutlich, dass die Hacker diese Funktion zunehmend übernehmen und intensiv für die intermittierende Verschlüsselung werben, um Käufer oder Partner anzulocken.
Die intermittierende Verschlüsselung bietet Ransomware-Erpressern zwei wesentliche Vorteile:
Im Folgenden soll ein Überblick über verschiedene Ransomware-Familien gegeben werden, die bereits Einsatz von intermittierender Verschlüsselung machen:
Qyick
Ende August 2022 beobachteten die Forscher von SentinelLabs einen Benutzer namens lucrostm, der in einem beliebten TOR-basierten Verbrecherforum für eine neue kommerzielle Ransomware namens Qyick warb. Derselbe Benutzer agiert auch als ein etablierter Anbieter anderer bösartiger Tools, darunter Remote-Access-Tools und Malware-Loader. Das Ransomware-Angebot von Qyick ist ein einmaliger Kauf, im Gegensatz zu dem üblichen Abonnement-Modell. Der Preis liegt zwischen 0,2 BTC und etwa 1,5 BTC, je nachdem, welche Anpassungen der Käufer wünscht. Der Käufer erhält eine kompilierte ausführbare Datei mit einer Garantie: Wenn die Ransomware innerhalb von 6 Monaten nach dem Kauf von einer Sicherheitssoftware erkannt wird, stellt der Autor ein neues Muster mit einem Preisnachlass zwischen 60 % und 80 % des ursprünglichen Preises zur Verfügung.
BlackCat (ALPHV)
Die Ransomware BlackCat (oder ALPHV) trat Ende 2021 in Erscheinung und ist die erste bekannte Ransomware, die in der Programmiersprache Rust geschrieben wurde. Die Entwickler hinter BlackCat wurden erstmals Anfang Dezember 2021 in einem russischen Untergrundforum gesichtet, wo sie für ihre Dienste warben.
Die ALPHV-Bedrohungsgruppe betreibt ein Ransomware-as-a-Service (RaaS)-Programm und teilt Lösegeldzahlungen mit Partnern. ALPHV nutzt Bulletproof Hosting zum Hosten ihrer Websites und einen Bitcoin-Mixer zur Anonymisierung von Transaktionen.
Die ALPHV-Bedrohungsgruppe hat schon früh Erpressungsmethoden angewandt, wie z. B. die Bedrohung von Opfern mit DDoS-Angriffen, die Weitergabe von exfiltrierten Daten im Internet sowie die Einschüchterung von Mitarbeitern und Kunden der Opferorganisationen, falls diese kein Lösegeld zahlen. Große Organisationen und Unternehmen waren weltweit das Ziel der BlackCat-Ransomware.
Agenda
Die Ransomware Agenda, die erstmals im August 2022 entdeckt wurde, ist in Go geschrieben und wurde hauptsächlich für Angriffe auf Gesundheits- und Bildungseinrichtungen in Afrika und Asien eingesetzt. Die Ransomware verfügt über einige Anpassungsoptionen, darunter die Änderung der Dateinamenerweiterungen der verschlüsselten Dateien und die Liste der zu beendenden Prozesse und Dienste. Die ALPHV-Bedrohungsgruppe betreibt ein Ransomware-as-a-Service (RaaS)-Programm und teilt Lösegeldzahlungen mit Partnern.
PLAY
PLAY Ransomware ist ein Neueinsteiger in der Szene und wurde erstmals Ende Juni 2022 entdeckt. Die Ransomware hat in letzter Zeit hochkarätige Ziele heimgesucht, wie z. B. den Gerichtshof von Córdoba in Argentinien im August 2022. Der Erpresserbrief von PLAY besteht aus einem einzigen Wort – PLAY – und einer Kontakt-E-Mail-Adresse. Im Gegensatz zu Agenda und BlackCat verfügt die Ransomware PLAY nicht über Verschlüsselungsmodi, die vom Anwender konfiguriert werden können. PLAY führt eine intermittierende Verschlüsselung durch, die sich nach der Größe der zu verschlüsselnden Datei richtet, und verschlüsselt Teile der Datei (Chunks) von 0x100000 Bytes.
Black Basta
Black Basta ist ein RaaS-Programm, das erstmals im April 2022 auftauchte und dessen Ransomware-Samples bis Februar 2022 zurückreichen. Aktuelle Erkenntnisse deuten darauf hin, dass Black Basta aus der zerfallenen Asche der Conti-Operation entstanden ist. Die Ransomware ist in der Programmiersprache C++ geschrieben und unterstützt die Betriebssysteme Windows und Linux. Die Betreiber von Black Basta wenden doppelte Erpressung an und drohen ihren Opfern mit der Veröffentlichung der exfiltrierten Daten auf der TOR-basierten Website Basta News, sollten die Opfer das Lösegeld nicht zahlen.
Fazit
Intermittierende Verschlüsselung stellt ein sehr nützliches Werkzeug für Ransomware-Entwickler dar. Diese Verschlüsselungsmethode hilft dabei, einige Ransomware-Erkennungsmechanismen zu umgehen und die Dateien der Opfer schneller zu verschlüsseln. In Anbetracht der erheblichen Vorteile, für die Bedrohungsakteure, und der praktischen Umsetzung gehen Sicherheitsexperten davon aus, dass die intermittierende Verschlüsselung in Zukunft von immer mehr Ransomware-Familien eingesetzt werden wird.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…