Die SophosLabs haben weitere Details über die Ransomware „ProLock“ veröffentlicht, die zuerst durch einen FBI-Bericht im März 2020 und später im Mai 2020 Schlagzeilen machte. Im aktuellen Bericht analysieren die Security-Spezialisten von Sophos, warum der Entschlüsselungs-Code, der zahlenden Ransomware-Opfern zur Verfügung gestellt wurde, nicht immer funktionierte und welche Gründe die Dateigröße für das ungewöhnliche Verhalten der Ransomware spielt.
Denn Prolock überspringt Dateien, die kleiner als 8.192 Byte sind, und verschlüsselt Daten erst ab einer Größe von 8.192 Byte. Das Ergebnis sind Dateien, die teilweise lesbar und teilweise verschlüsselt sind. Dies kann dazu führen, dass der Entschlüsselungs-Code, den die Opfer nach Zahlung des Lösegelds für die Entschlüsselung erhalten, die verschlüsselten Daten korrumpiert. Konkret bedeutet dies, dass selbst wenn die Opfer zahlen die Möglichkeit besteht, dass Daten verloren gehen oder die Wiederherstellung noch teurer wird.
Dabei ist Prolock nicht die erste Ransomware, die den Trick anwendet, den Dateianfang nicht zu manipulieren. Und es gibt drei wahrscheinliche Gründe, warum Hacker dies tun:
- Um Tools zur Verschlüsselungserkennung zu täuschen, die nur den Anfang der Datei überwachen. Die meisten Ransomware-Programme verschlüsseln die gesamte Datei. Daher ist die Überwachung des Zugriffs auf den Anfang jeder Datei eine effiziente Methode, um einige, aber nicht alle nicht autorisierten Änderungen zu erkennen.
- Um gängige Tools zur Identifizierung von Dateitypen zu täuschen. Einige Tools zum Durchsuchen von Verzeichnissen zeigen Symbole an oder listen eine Textzeichenfolge auf, die angibt, welcher Typ wahrscheinlich jede Datei ist, z.B. „Das ist ein Bild“, „Das ist ein PDF“ und „Das ist eine Anwendung“. Viele Dateitypen können bereits in den ersten Bytes mit guter Trefferquote identifiziert werden. Daher lesen viele Tools höchstens einige KB ein, um viel schneller ausgeführt werden zu können.
- Um dem Nutzer ein falsches Sicherheitsgefühl zu geben. Auf den ersten Blick entsteht der Eindruck, dass der Ransomware-Angriff ins Leere gelaufen ist, da einige Dateien intakt sind und ein Teil jeder Datei wiederhergestellt werden kann.
Aber auch ohne Verschlüsselung kann Prolock den Opfern einen beträchtlichen wirtschaftlichen Schaden zufügen, da es wahrscheinlich nur der letzte Schritt eines umfangreichen Netzwerkeinbruchs ist. Unternehmen können diese Art von Angriffen einschließlich des Schutzes des Fernzugriffs auf das Netzwerk verhindern, indem sie den RDP-Zugriff hinter ein virtuelles privates Netzwerk stellen und Multi-Faktor-Authentifizierung für den Fernzugriff verwenden. Wie bei allen Ransomware-Bedrohungen wird die Abwehr von Angriffen wie Prolock durch Offline-Backups und Malware-Schutz sowohl für Desktops als auch für Server erschwert. Moderne Endpunktschutz-Tools inklusive EDR können den Angriff effektiv abwehren und stoppen.
„Selbst unter den besten Umständen ist es sehr aufwendig, sich von einem Ransomware-Angriff zu erholen”, erklärt Sean Gallagher, Senior Threat Research bei Sophos. „Das ungewöhnliche Verschlüsselungsverhalten von Prolock in Verbindung mit einer fehlerhaften Entschlüsselung erschwert die Wiederherstellung erheblich. Die von Prolock angewendeten Taktiken sind im Ransomware-Umfeld durchaus bekannt: die Verwendung von RDP-, Phishing- oder Drittanbieter-Malware, um Remote-Zugriff zu erhalten, und die Verwendung nativer Windows-Tools zur Verbreitung der Malware. Die Verwendung von schwacher Steganografie, um den Code zu verbergen, und von verschleierten Powershell-Skripten, um die Malware-Prozesse zu starten, macht die Erkennung dieser Art von Angriffen ohne starken Malware-Schutz bestenfalls schwierig. Unternehmen sollten die Nutzung von RDP und Fernzugriff auf den Prüfstand stellen und sicherer gestalten. Allein die Einführung einer Zwei-Faktor-Authentifizierung für den Fernzugriff und die Hinterlegung von RDP-Sitzungen hinter einem virtuellen privaten Netzwerk würde das Potenzial für Angriffe dieser Art erheblich verringern.“
Der ausführliche Bericht der SophosLabs „ProLock ransomware gives you the first 8 kilobytes of decryption for free“ steht unter folgendem Link zur Verfügung:
#Sophos