Eine neue Ransomware-Attacke der bekannten Gruppe Cyberkrimineller „RedCurl“ richtet sich gezielt auf Hypervisoren anstatt auf Endpunkte. So wollen die Angreifer lange unentdeckt bleiben und zugleich einen maximalen Schaden anrichten. Das belegt eine Bitdefender-Labs-Analyse der ersten digitalen Erpressung von Redcurl. Neben DLL-Sideloading und bösartigem Malware-Code kommen vor allem legitime Tools für Living-of-the-Land-Attacken (LOTL) zum Einsatz. Backups von Hypervisoren werden gezielt gelöscht. Belegt sind Angriffe auch in Deutschland.
Die Angreifer halten sich laut der Analyse während der ganzen Attacke fern von Endpunkt-Systemen der Nutzer. Zum einem dient der ausschließliche Angriff auf Hypervisoren dem Zweck, mit minimalem Aufwand einen maximalen Schaden anzurichten. Das Verschlüsseln virtueller Maschinen, die auf Hypervisoren gehosted sind, macht das Booten der Maschinen unmöglich. Zum zweiten wollen die Angreifer offenbar so lange wie möglich verborgen bleiben und damit einen zeitlichen Spielraum eröffnen, um mit einem kleinen Teil der Betroffenen in den Unternehmen zu verhandeln – vor allem allein mit dem IT-Team. Daher vermeiden die Urheber auch die sonst übliche Ransomware-Öffentlichkeitsarbeit in dezidierten Leak-Seiten (DLS – Dedicated Leak Sites).
Trend-Tool Phishing
Wie so oft startet die Attacke auch hier mit einer klassischen Phishing-E-Mail, welche eine IMG-Datei als Lebenslauf mit der Dateierweiterung für Bildschirmschoner tarnt (CV APPLICANT 7802-91542.SCR). Mit einer .SCR lässt sich ohne weiteres eine ausführbare Datei verbergen. Die IMG-Datei als Sektor-für-Sektor-Kopie einer Speicherhardware wird nach Anklicken des vermeintlichen Lebenslaufs automatisch als Disk gemountet und die als .SCR-Datei getarnte .exe ausgeführt: Die Adobe-Anwendung bietet eine Schwachstelle für DLL-Sideloading.
Trend-Mimikri legitime Tools
Der heruntergeladene Payload verwendet LOTL-Techniken, um böswillige Aktionen hinter Aktionen tätiger legitimen Tools zu verbergen. Zu solchen Werkzeugen gehört für den initialen Zugriff die pcalua.exe-Utility als Assistenztool für Programmkompatibilität (Program Compatibility Assistant – PCA). Dieses Werkzeug dient für gewöhnlich dazu, dass ältere Softwareversionen auf neueren Windows-Versionen laufen und führt hier missbräuchlich binäre Dateien im Proxy aus. Rundll32.exe als Windows-Tool für den Betrieb von Dynamic-Link-Libraries (DLL) wird für bösartige DLLs zweckentfremdet. Einmal im System, nutzen die Angreifer von Redcurl-Remote-Windows-Tools für Administratoren wie powersehell.exe, wmic.exe, certutil.exe oder tasklist.exe. Die Ransomware-Attacke versucht auch, IT-Sicherheitssoftware zu umgehen.
Das Hauptskript der Ransomware zeichnet sich durch verschiedene Parameter aus und ermöglicht es, Backups gezielt nach Hostnamen zu löschen. Hierfür entfernt das Skript spezifische Backup-Directories und virtuelle Hard-Disk-Dateien.
Neues kriminelles Portfolio mit unklarer Motivation
Die Bitdefender Labs benennen die neue Ransomware QWCrypt. Die seit 2018 aktive RedCurl-Gruppe, auch bekannt als Earth Kapre oder Red Wolf, war bisher vor allem für Living-off-the-Land-Techniken mit dem Ziel der Cyberspionage und Datenexfiltration bekannt. Gegen einen staatlichen Hintergrund – etwa für Cyberspionage – spricht die breite geografische Streuung vor allem in den USA, aber auch in Deutschland Spanien und Mexiko sowie – laut anderer Experten – sogar in Russland. Gegen eine finanzielle Motivation spricht, dass RedCurl bisher keine Daten verkauft hat. Ransomware in ein kriminelles Portfolio mitaufzunehmen, ist damit eine bemerkenswerte Erweiterung ihrer Taktik. Die Motive der Hacker – neben Lösegelderwerb – bleiben unklar.
Info: Eine ausführliche Analyse der Ransomware-Attacke findet sixh unter https://www.bitdefender.com/en-us/blog/businessinsights/redcurl-qwcrypt-ransomware-technical-deep-dive.
#Bitdefender
powered by Borlabs Cookie 