Forscher schreiben der Lazarus-Hacking-Gruppe zwei gezielte Ransomware-Angriffe zu

Lazarus VHD Ransomware

Hollywood lässt Sie glauben, dass Teenager-Hacker mit Hoodie ganze Unternehmensriesen im Wert von Milliarden von Dollar aus dem Unbehagen im Keller ihrer Eltern stürzen können. In der realen Welt funktionieren die Dinge jedoch nicht wirklich so. Anspruchsvolle Cyberangriffe werden von erfahrenen Kriminellen durchgeführt, die über viele Ressourcen verfügen.

Ransomware-Kampagnen für bestimmte Organisationen sind äußerst komplizierte Vorgänge, an denen häufig mehrere separate Hacking-Teams beteiligt sind, die alle an unterschiedlichen Aufgaben arbeiten. Ein Team wäre beispielsweise für die Bereitstellung der Command & Control (C & C) -Infrastruktur verantwortlich, ein zweites würde das Netzwerk des Opfers gefährden, ein drittes würde sicherstellen, dass so viele Computer wie möglich infiziert sind, und ein viertes wäre dafür verantwortlich die tatsächliche Ransomware-Nutzlast. Forscher von Kaspersky haben das System am Dienstag in einem Blogbeitrag ausführlicher beschrieben, aber auch einige Ausnahmen von der Regel erwähnt.

Die VHD-Ransomware zieht die Aufmerksamkeit der Experten auf sich

Die Nutzlast der beiden von Kaspersky beschriebenen Cyberangriffe war die VHD-Ransomware - eine relativ neue Malware, die Dateien verschlüsselt und vor einigen Monaten aufgetaucht ist. Die Ransomware selbst ist nicht besonders ausgefeilt. Es durchsucht die Festplatten infizierter Hosts, verschlüsselt Dateien mit einer Kombination aus AES und RSA und löscht Systemwiederherstellungspunkte, um das Abrufen der Daten zu erschweren. Einige Merkmale der Angriffe erregten jedoch die Aufmerksamkeit der Forscher.

Der erste wurde im März gestartet, und die Experten stellten fest, dass es sich um einen sehr interessanten Mechanismus zur Verbreitung im Netzwerk des Opfers handelte. Mithilfe eines automatisierten Tools verwendeten die Hacker eine Liste opferspezifischer SMB-Anmeldeinformationen, um ihren Weg zu anderen Computern zu erzwingen. Nach erfolgreicher Verbindung kopierten sie eine VHD-Ransomware-Nutzlast und führten sie über WMI-Aufrufe aus.

Dies sind nicht die Techniken, die eine gewöhnliche Hacking-Crew anwenden würde, und die Experten wussten, dass sie sich wahrscheinlich mit etwas Ernsthafterem befassten. Ein paar Monate später ging es ihnen genauso, als sie gerufen wurden, um auf einen weiteren Angriff mit der VHD-Ransomware zu reagieren.

Diesmal war der erste Einstiegspunkt ein anfälliges VPN-Gateway, über das die Hacker Administratorrechte erlangten und eine Hintertür bereitstellten. Nachdem die Verbrecher den Active Directory-Server des Opfers kompromittiert hatten, verteilten sie Kopien der VHD-Ransomware an eine nicht angegebene Anzahl von Computern.

Als sie sich die Hintertür genauer anschauten, erkannten die Forscher, womit sie es genau zu tun hatten.

Die Lazarus-Verbindung

Der Penny fiel, als die Forscher feststellten, dass die beim zweiten Angriff verwendete Hintertür eine Instanz des sogenannten MATA-Malware-Frameworks war.

Wir haben in der Vergangenheit darüber gesprochen, wie schwer die Zuschreibung in der Cybersicherheitswelt ist, aber nach sorgfältiger Untersuchung sind sich die Experten von Kaspersky ziemlich sicher, dass das MATA-Framework erstellt wurde und von der berüchtigten Lazarus-Hacking-Gruppe verwendet wird.

Lazarus ist ein Team hoch entwickelter Hacker, die für einige massive Cyberangriffe verantwortlich sind, darunter das Sony-Leck aus dem Jahr 2014 und die Einführung des OlympicDestroyer-Wischers, der die kritische IT-Infrastruktur vor den Olympischen Winterspielen 2018 in Pyeongchang lahmlegte. Lazarus soll damit in Verbindung stehen Die nordkoreanische Regierung und ihr Name wurden mit allem in Verbindung gebracht, von finanziell motivierten Angriffen bis hin zu großen Cyberspionagekampagnen. Laut Kaspersky ist die VHD-Ransomware ihre neueste Kreation.

Die Ransomware ist vielleicht nicht besonders ausgefeilt, wurde aber bei keinem anderen Angriff gesehen, und die Forscher sind sich ziemlich sicher, dass die Hacker sie nicht von einer anderen Cybercrime-Bande mieten. Gleichzeitig sind sie sich ziemlich sicher, dass Lazarus die einzige Besatzung ist, die Zugang zu den Werkzeugen und Techniken hat, die während der Angriffe im März und Mai verwendet wurden.

Anstatt die Gewinne mit anderen Cybercrime-Outfits zu teilen, hat Lazarus beschlossen, es alleine mit der VHD-Ransomware zu machen. Nur die Zeit wird zeigen, ob dies eine gute Strategie ist, aber angesichts des illustren Portfolios der Gruppe an störenden Cyberangriffen würden wir nicht dagegen wetten. Wenn Sie eine Organisation betreiben, auf die Lazarus möglicherweise abzielt, müssen Sie sicherstellen, dass sich in Ihrem Bedrohungsmodell ein Ransomware-Angriff mit der VHD-Ransomware befindet.

July 29, 2020

Antworten