Anzeige

Malware

Valak wurde Ende 2019 zum ersten Mal registriert und als Loader klassifiziert, der in mehreren Aktionen speziell in den USA und nicht selten im Verbund mit Ursnif (alias Gozi) und IcedID eingesetzt wurde. Das Cybereason Nocturnus Team hat bei einer Untersuchung im April 2020 festgestellt, dass Valak hauptsächlich für Angriffe in den USA und Deutschland verwendet wird.

Dabei werden immer wieder neue Versionen (bis dato sind mehr als 30 bekannt) eingesetzt, was darauf hinweist, dass die Entwickler der Schadsoftware in der Lage sind, binnen kurzer Zeit deutliche Verbesserungen zu erarbeiten. Zu den wichtigsten Features von Valak gehören:

  • Fileless-Phase: Valak enthält eine Fileless- (dateilose) Phase - dabei wird die Registry genutzt, um verschiedene Komponenten zu speichern.
  • Spionage: sammelt Benutzer-, Rechner- und Netzwerkdaten von infizierten Hosts
  • Geolokalisierung: prüft die Geolokalisierung der Rechner seiner Opfer
  • ScreenCapture: fertigt Screenshots von infizierten Rechnern an
  • Download sekundärer Schadsoftware: lädt zusätzliche Plugins und andere Malware herunter
  • Unternehmen Im Visier: greift in erster Linie Administratoren und Unternehmensnetzwerke an
  • Infiltration des Exchange Servers: erfasst und stiehlt vertrauliche Informationen aus dem Microsoft Exchange Mail-System, darunter Login-Daten und das Domain-Zertifikat.

Eine der Verbesserungen und gleichzeitig die wichtigste und interessanteste Komponente neuerer Valak-Versionen ist PluginHost. PluginHost ist für die Kommunikation mit dem C2-Server und den Download zusätzlicher Plugins unter dem Namen ManagedPlugin zuständig. Unter den weiteren Plugins finden sich Systeminfo und Exchgrabber, die offensichtlich beide primär für Angriffe auf Unternehmen verwendet werden.

Die wichtigsten Ergebnisse Studie von Cybereason

  • Die Valak-Malware: Es handelt sich hier um eine ausgereifte Malware, die zu Beginn als einfacher Malware Loader kategorisiert worden war. Obwohl Valak zum ersten Mal gegen Jahresende 2019 registriert wurde, hat das Cybereason Nocturnus Team bereits jetzt eine ganze Reihe drastischer Veränderungen untersucht. Sie dokumentieren eine aus 20 unterschiedlichen Versionen bestehende Evolution über weniger als sechs Monate. Die Studie zeigt, dass hinter Valak mehr steckt als lediglich ein Loader für andere Malware, sondern dass Valak auch unabhängig verwendet werden kann, um Informationen von Einzelnen und Unternehmen auszuspionieren. 
  • Unternehmen im Visier der Angreifer: Aktuellere Versionen von Valak greifen Microsoft Exchange Server an, um E-Mail-Daten und Passwörter von Unternehmen sowie Unternehmenszertifikate zu stehlen. Auf diese Weise verschaffen Hacker sich potenziell Zugang zu wichtigen Unternehmenskonten. Die Schäden sind weitreichend und schließen Einbußen beim Markenwert ebenso ein wie den Verlust des Kundenvertrauens. 
  • Ziele in den USA und Deutschland: Dieser Angriff ist speziell auf Unternehmen in den USA und Deutschland zugeschnitten. 
  • Umfassende Features und modulare Architektur: Die grundlegenden Features von Valak lassen sich mit einer Reihe von Plugin-Komponenten für Spionagezwecke und Datendiebstahl erweitern. 
  • Schnelle Entwicklungszyklen: Valak hat sich vom einfachen Loader zu einer ausgereiften, mehrstufigen modularen Schadsoftware entwickelt, die ihre Funktionalität mithilfe von Plugins von ihrem C2-Server erweitert. So hat das Cybereason Nocturnus Team in gerade einmal 6 Monaten 20 verschiedene Versionen identifiziert.
  • Stealth-Konfiguration: Valak ist eine stealth-fähige Malware, die fortschrittliche Ausweichtechniken wie ADS einsetzt und ihre Komponenten in der Registry verbirgt. Moderne Sicherheitslösungen erkennen und filtern PowerShell mittlerweile, deswegen wird es von den Valak-Entwicklern nicht verwendet. 

Schlussfolgerung

Das Cybereason Nocturnus Team hat im Rahmen der vorliegenden Studie die neue Valak-Malware analysiert. Obwohl Valak erst Ende 2019 in Erscheinung getreten ist und damals von verschiedenen Sicherheitsanalysten als einfacher Malware Loader kategorisiert wurde, zeigt die Untersuchung, dass sich hinter Valak eine sehr viel weitreichendere Bedrohung verbirgt. Tatsächlich haben wir es hier mit einer ausgereiften modularen Schadsoftware zu tun, die über unzählige Funktionen zur Datenspionage und für den Diebstahl von Daten verfügt.

Die Entwickler haben in gerade einmal sechs Monaten 30 unterschiedliche Versionen von Valak veröffentlicht und dabei große Fortschritte gemacht. Jede dieser Versionen verfügt über erweiterte Funktionalitäten, darunter auch Ausweichtechniken, die das Aufspüren der Malware enorm erschweren. Valak verfügt über mindestens sechs Plugin-Komponenten, mit denen Hacker vertrauliche Informationen stehlen können. 

Diese erweiterten Malware-Funktionen weisen darauf hin, dass Valak sowohl unabhängig als auch zusammen mit anderer Schadsoftware eingesetzt werden kann. Es soll nicht unerwähnt bleiben, dass der für die Malware verantwortliche Threat Actor offenbar mit Gleichgesinnten innerhalb des E-Crime Ökosystems zusammenarbeitet -  mit dem Ziel eine weit gefährlichere Version der Malware zu entwickeln.

Die Angriffe mit Valak konzentrieren sich derzeit scheinbar auf Ziele in den USA und Deutschland. Es ist davon auszugehen, dass sich die Malware weiterentwickeln und sie ihre Popularität unter Cyberkriminellen steigern wird. Das Cybereason Nocturnus Team überwacht kontinuierlich die Entwicklung von Valak – auch dahingehend, ob und wann andere Regionen in Zukunft betroffen sein werden. 

Eli Salem & Lior Rochberger

www.cybereason.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Web-Traffic
Mai 28, 2020

Web-Traffic erholt sich nach COVID-19-Einschränkungen

Die Corona-Pandemie wirkt sich weiterhin auf die Auslastung des Internets und die…

Weitere Artikel

Hackerangriff

73% der weltweiten Passwörter können sofort geknackt werden

Laut der vom Passwortmanager NordPass zur Verfügung gestellten Daten können 73% der beliebtesten verwendeten Passwörter in weniger als einer Sekunde geknackt werden.
Windows 7

5,2 Mio. Computer in Deutschland nutzen alte Windows-Versionen

Windows-Betriebssysteme haben in Deutschland bei Desktop-PCs und Notebooks einen Marktanteil von rund 80 Prozent. Die gute Nachricht: Ein Großteil der eingesetzten Geräte nutzt das aktuelle Windows 10. Doch ein genauer Blick auf die Zahlen zeigt eine sehr…
Ransomware

Der Aufstieg der Ryuk Ransomware

Die Ryuk Ransomware hat unter Cyberkriminellen massiv an Popularität gewonnen. Die Zahl der entdeckten Angriffe stieg von nur 5.123 im 3. Quartal 2019 auf über 67 Millionen im 3. Quartal 2020, so das Ergebnis einer Sicherheitsstudie von SonicWall.
Hackerangriff

Vorsorgepläne als Ziel von Hackern

Da Vorsorgepläne sensible persönliche und finanzielle Daten enthalten, werden Cyberangriffe auf Altersvorsorge-, Renten- und Langzeitvorsorgepläne immer häufiger. Diese Daten zu schützen bedeutet, die Bedrohung zu verstehen und Richtlinien zum Schutz von…
Hacker Corona

Covid-19 Impfstoff als Thema unterschiedlicher Cyberattacken

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, warnt aktuell vor einer Vielzahl verschiedener Cyberattacken, die sich die Unsicherheit vieler Menschen rund um das Thema Covid-19-Impfstoff zunutze machen.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!