Thought Leadership
Ransomware war speziell in den vergangenen Monaten oft in den Schlagzeilen. Fast wöchentlich werden neue Familien dieser Kategorie von Malware entdeckt.
Unit 42, die Malware- Analyseeinheit von Palo Alto Networks, hat nun eine neue Ransomware-Taktik aufgedeckt. Wurde Ransomware bislang durch Phishing-Mails und Exploit-Kits ungezielt verbreitet, zeichnet sich ein neuer Trend ab: Gezielte Angriffe, bei denen Ransomware von den Angreifern eingesetzt wird, nachdem sie sich bereits Zugang in das Netzwerk eines Unternehmens verschafft haben. Eine Malware-Familie, die in solchen Angriffen beobachtet werden konnte, ist bekannt als „SamSa“, „Samas“, „samsam“ oder zuletzt auch „MOKOPONI“.
Palo Alto Networks hat mehr als 20 Samples dieser Malware-Familie gesammelt. Die Malware wird wie folgt installiert: Zunächst versucht der Angreifer, sich Zugriff auf das Netzwerk eines Opfers zu verschaffen. Dann beginnt er damit, das Netzwerk zu erkunden, um sich seitlich zu bewegen und weitere potenzielle Opfer zu finden. Sobald genügend Opfersysteme gefunden sind, wird SamSa manuell zum Einsatz gebracht, mittels gängiger Systemadministrator-Hilfsprogramme wie PSExec. Nach der Bereitstellung der Malware auf den Opfer-Hosts, wird sie mit einem Public-RSA-Key installiert, der speziell für diesen bestimmten Angriff erzeugt wird. Zusätzlich wird ein Batch-Skript bereitgestellt, das zum Löschen der Volume-Shadow-Kopien auf dem infizierten Computer dient und das Wiederherstellen von Dateien verhindert. Dann wird SamSa ausgeführt und zerstört sich selbst nach erfolgreicher Verschlüsselung.
Mit Ausnahme der frühesten bekannten Samples, ist bei dieser Malware eine Public-RSA-Key-Datei erforderlich, die manuell als Befehlszeilenargument zur Verfügung gestellt werden muss. Dies ist völlig anders als bei anderen Ransomware-Familien, die Public Keys automatisch vom Command- and Control-Server erhalten. Auch bei den ersten Samples von SamSa war der Public RSA Key innerhalb der Malware selbst eingebettet. Für den Fall, dass ein Public Key nicht als Befehlszeilenargument zur Verfügung gestellt wird, wird die Malware entfernt, um die Erkennung in einer Sandbox-Umgebung zu verhindern.
Palo Alto Networks beobachtet die Malware seit Dezember. Die jüngsten Erkenntnisse sprechen dafür, dass SamSa für eine Reihe großer Infektionen in Unternehmen verantwortlich ist. Während die Malware selbst nicht sehr anspruchsvoll ist, macht die Angriffstaktik SamSa zu einer ernsthaften Bedrohung, die bislang unter dem Radar agierte. Diese Taktik ist gekennzeichnet durch das Fehlen einer Command-and-Control-Infrastruktur, die Fähigkeit, extern zugängliche Systeme zu kompromittieren, um nicht autorisierten Zugriff zu erlangen, und den Einsatz von Verschleierung.
Die Kompromittierungsindikatoren, die Palo Alto Networks gesammelt hat, sind hier zu finden.
Kunden von Palo Alto Networks Kunden sind vor dieser Bedrohung auf folgende Weise geschützt:
- WildFire identifiziert akkurat alle SamSa-Malware-Samples als „bösartig“.
- Domains, die von SamSa genutzt werden, werden in Threat Prevention als „bösartig“ gelistet.
- Für AutoFocus-Nutzer steht im Zusammenhang mit diesem Angriff der SamSa-Tag zur Verfügung.
