Cybercrime: Erpressung auf neuem Niveau

Der menschliche Faktor

Inhaltsverzeichnis

Entscheidend ist, dass im Folgenden die einfachen, automatisierten Angriffe durch menschliche Aktivitäten ergänzt werden. Das heißt konkret: Da meldet sich früher oder später ein geschulter Hacker auf dem infiltrierten System an und untersucht es systematisch nach Möglichkeiten, sich weiter auszubreiten.

Zunächst versucht er, Administrator-Rechte zu erlangen. Ihm steht dazu ein so breites Arsenal an bekannten Schwachstellen und Konfigurationsfehlern zur Verfügung, dass das häufig gelingt. Darüber hinaus durchforstet er das System nach Zugangsdaten und hangelt sich dann mit diesen im Netz weiter.

Microsoft beschreibt die typische Vorgehensweise einer motivierten Cybercrime-Gang, bevor sie Daten verschlüsseln.

(Bild: Microsoft)

Eine besondere Gefahr sind dabei Angriffe auf die Windows-Netzwerk-Infrastruktur wie Pass-the-Hash-Angriffe und Kerberos Golden Tickets. Deren Ziel ist es, Administrator-Rechte im Actice Directory zu erlangen und sich somit zum quasi allmächtigen Herrscher im Windows-Netz aufzuschwingen. Viele einfach aufgebaute Windows-Netze haben diesem Lateral Movement der Cyberkriminellen wenig entgegen zu setzen.

Bei diesen Aktivitäten setzen Ransomware-Gangs gerne bekannte Angriffswerkzeuge ein, die ursprünglich für professionelles Penetration-Testing und die Simulation von APT-Angriffen entwickelt wurden. Dazu gehören Weiterentwicklungen von Mimikatz (Credential Theft), PowerSploit, Powershell Empire (mächtige Powershell-Frameworks) und Cobalt Strike (kommerzielle Pen-Testing-Lösung, ähnlich wie Metasploit).

Bei aktuellen Angriffen kommen auch vermehrt dateilose Techniken zum Einsatz, die sich die Cybercrime-Banden wie auch bereits das Lateral Movement bei den APT-Akteuren abgeschaut haben. Der Zugriff erfolgt dann über gestohlene oder geknackte Zugangsdaten und die anschließenden Aktivitäten nutzen vor allem Windows-Bordmittel wie die Kommandozeile, Powershell und WMI oder legitime Admin-Tools wie psexec.

Spezieller Angriffscode liegt dabei nur in verschlüsselten Dateien vor und wird erst zur Laufzeit im Arbeitsspeicher entpackt. Das Passwort dazu muss der Angreifer im Zweifelsfall separat eingeben. Der Vorteil dieser Techniken ist, dass kein Schadcode auf der Festplatte landet, wo ihn Sicherheits-Software entdecken könnte.

Diese Aktivitäten sind damit für Antiviren-Software und andere Security-Tools, die sich auf Dateien konzentrieren, quasi unsichtbar. Auch eine nachträgliche forensische Analyse, die das Geschehen aufklären soll, läuft ins Leere, wenn nicht explizit der Arbeitsspeicher des infizierten Systems gesichert wurde, um den mit entsprechenden Tools zu analysieren.

Als wäre all dies nicht schon schlimm genug, droht eine weitere Eskalation der Situation durch mehr Zusammenarbeit im Untergrund. So bieten Cybercrime-Banden für Einsteiger "Rasomware as a Service" (RaaS) auf Basis des Erpressungs-Trojaners Dharma. Die Security-Firma Sophos berichtet, wie die Kriminellen ihre Affiliates mit den benötigten Tools, Skripten und einer anfängerfreundlichen Malen-nach-Zahlen-Bedienungsanleitung inklusive technischem Support versorgen.

"Have fun, bro!" – im Rahmen ihrer Ransomware-as-a-Service-Dienste helfen die Kriminellen Einsteigern mit Skripten und Tool-Sammlungen.

Die Newbies machen die schmutzige Arbeit des Einbrechens in die Netze der Firmen bevorzugt via RDP bis hin zum Verschlüsseln der Daten. Die RaaS-Bande betreibt im Hintergrund die benötigte Infrastruktur. Nur sie können die zum Freigeben der verschlüsselten Daten benötigten Schlüssel bereitstellen. So stellen sie sicher, dass ihre "Affiliates" auch regelmäßig ihre Lizenzgebühren zahlen. Kommt es allerdings zu "Verstimmungen" zwischen den Gaunern, ist das Opfer der Dumme, weil er keine Schlüssel mehr bekommt.

Die Akteure, die Dharma einsetzen, sind in der Regel deutlich weniger versiert, als ihre großen Vorbilder Maze und Trickbot und konzentrieren ihre Aktivitäten vor allem auf kleine und mittlere Unternehmen. Entsprechend fallen die geforderten Lösegelder mit im Schnitt rund 8.000 US-Dollar deutlich niedriger aus. Doch wegen der niedrigen Einstiegshürden steigt die Zahl der Dharma-Erpresser rapide. Die Gewinne sind verlockend und außer ein paar grundlegenden IT-Kenntnissen und einem verrutschten moralischen Kompass braucht es keine weitere Qualifikation.

Doch auch die großen Banden haben die Vorteile der Zusammenarbeit entdeckt und schließen sich zu richtigen Kartellen zusammen. So hat Maze gerade verkündet, dass sich nach der weniger bekannten LockBit-Gruppe jetzt auch Ragnar Locker dem sogenannten Maze-Kartell angeschlossen habe. Und prompt erschien auf der Maze-Plattform auch der Datensatz eines Erpressungsopfers unter dem Label

"Maze Cartel provided by Ragnar"

Das ergibt durchaus Sinn. Maze betreibt eine eigene Data-Leak-Plattform, über die die Kriminellen die gestohlenen Daten veröffentlichen – inklusive diverser Mirror-Sites. LockBit hatte bislang nichts vergleichbares. Ragnar Locker nutzte bei seinen "Veröffentlichungen" den Cloud-Speicher von Mega und war damit abhängig von deren Untätigkeit. Im Kartell teilt Maze offenbar die Plattform – vermutlich gegen eine kleine Gebühr.

Zynischer gehts kaum: Die Erpresserbande Maze betreibt ihre eigene "Enthüllungsplattform" und bezeichnet die Erpressten als "Clients".

(Bild: Screenshot)

Bislang ist nicht bekannt, wie weit diese Zusammenarbeit im Maze-Kartell geht. Wenn man dort auch Techniken, Tools und Erfahrungen austauscht, könnte das durchaus zu einer weiteren Professionalisierung der Szene führen.

So hat etwa Ragnar Locker erst kürzlich eine neue Technik eingesetzt, die auch andere Cybercrime-Banden interessieren könnte: Sie haben auf dem System des Opfers extra eine Virtuelle Maschine zum Verschlüsseln der Daten eingerichtet. Sie installierten dazu eine Version von VirtualBox und ein Image mit einem aufs notwendigste gestrippten Windows XP inklusive vorinstallierter Ransomware namens vrun.exe

Die Pfade mit den zu verschlüsselnden Daten wurden dabei innerhalb der VM als Laufwerke gemountet. Die arbeitet die Ransomware dann innerhalb einer Schleife systematisch ab. Antiviren-Hersteller Sophos vermutet, dass es dabei darum geht, Heuristiken und Verhaltensüberwachung auf dem Host-System auszutricksen. Diese könnten die verdächtigen Dateizugriffe der Ransomware erkennen und stoppen, beziehungsweise vor dem Löschen der Daten Kopien anlegen. So erfolgen die Dateizugriffe ausschließlich durch den scheinbar legitimen VM-Host-Prozess VboxHeadless.exe und erregen keinen Verdacht.

Worauf ich damit hinaus will ist: Ganz egal ob das jetzt ein technischer Durchbruch ist oder nicht: Durch den Austausch innerhalb des Kartells könnten solche Innovationen zukünftig viel schneller umgesetzt, evaluiert und im Erfolgsfall in großem Maßstab eingesetzt werden. Es wird also höchste Zeit, dass auch die Verteidiger mehr und enger zusammenarbeiten.

(ju)