Anzeige

Ransomware

Memento Ransomware sperrt Dateien in ein passwortgeschütztes Archiv, wenn sie die Daten nicht verschlüsseln kann. Forensische Analyse der SophosLabs gibt detaillierte Einblicke in das neue Vorgehen.

Wiesbaden 18. November 2021. Sophos hat heute Details zu einer neuen Ransomware von einer Gruppe namens Memento veröffentlicht. Die Studie „New Ransomware Actor Uses Password Protected Archives to Bypass Encryption Protection“ beschreibt den Angriff, der Dateien in einem kennwortgeschützten Archiv sperrt, wenn die Ransomware Memento die Zieldaten nicht verschlüsseln kann. 

„Von Menschen gesteuerte Ransomware-Angriffe sind selten eindeutig und linear“, sagt Sean Gallagher, Senior Threat Researcher bei Sophos. „Angreifer nutzen Gelegenheiten spontan, wenn sie sie finden oder manchmal unterlaufen ihnen auch Fehler. Dann ändern sie ihre Taktik 'on-the-fly', denn wenn es ihnen gelingt, in das Netzwerk eines Ziels einzudringen, wollen sie auf keinen Fall mit leeren Händen dastehen. Der Memento-Angriff ist ein gutes Beispiel dafür und erinnert uns daran, dass es wichtig ist, für Sicherheit auf allen Ebenen zu sorgen. Denn in diesem Fall haben die Angreifer nach einer durch ein Sicherheitsprogramm unterbundenen Datenverschlüsselung einen anderen Weg gefunden, ihr Ziel zu erreichen. Die Fähigkeit, Ransomware und Verschlüsselungsversuche zu erkennen und zu unterbinden, ist von entscheidender Bedeutung, aber es ist auch wichtig, über Sicherheitstechnologien zu verfügen, die vor anderen, Aktivitäten, wie zum Beispiel unerwartete Bewegungen und Aktivitäten im Netzwerk warnen können.“

Wie wichtig das ist, zeigt das SophosLabs-Protokoll der Memento-Attacke:

+++Mitte April 2021 – Es geht los. Eindringen ins Netzwerk+++

Sophos geht davon aus, dass die Memento-Gruppe Mitte April 2021 in das Netzwerk des Ziels eingedrungen ist. Die Angreifer nutzten eine Schwachstelle in VMware vSphere, einem internetbasierten Cloud-Computing-Virtualisierungstool, um in einen Server einzudringen. Die gefundenen forensischen Beweise deuten darauf hin, dass die Angreifer den Haupteinbruch Anfang Mai 2021 begannen.

Die Täter bewegten sich in den ersten Monaten unbemerkt durch das Netzwerk und stellten Erkundungen an. Sie setzten das Remote Desktop Protocol (RDP), den NMAP-Netzwerkscanner, den Advanced Port Scanner und das Plink Secure Shell (SSH) Tunneling-Tool ein, um eine interaktive Verbindung mit dem angegriffenen Server herzustellen. Die Kriminellen nutzten außerdem Mimikatz, um Zugangsdaten zu sammeln, die sie in späteren Phasen des Angriffs verwenden konnten.

+++20. Oktober 2021 – WinRAR kommt zum Einsatz+++

Laut den Sophos-Forscher:innen setzen die Cyberkriminellen am 20. Oktober 2021 das legitime Tool WinRAR ein, um eine Sammlung von Dateien zu komprimieren und sie über RDP zu exfiltrieren.

++++++23. Oktober 2021 – Roll-out der Ransomware und Plan B ++++++

Die Ransomware selbst kam erstmals am 23. Oktober 2021 ins Spiel. Sophos fand heraus, dass die Angreifenden zunächst versuchten, Dateien direkt zu verschlüsseln, was sich jedoch durch Sicherheitsmaßnahmen verhindern ließ. Die Cyberkriminellen änderten daraufhin ihre Taktik, rüsteten um und setzten die Ransomware erneut ein. Sie kopierten unverschlüsselte Dateien mit einer umbenannten kostenlosen Version von WinRAR in passwortgeschützte Archive, verschlüsselten dann das Passwort und löschten die Originaldateien.

Für die Wiederherstellung der Dateien forderten die Cyberkriminellen nun ein Lösegeld in Höhe von einer Million Dollar in Bitcoin. Glücklicherweise konnte das attackierte Unternehmen die Daten ohne die Beteiligung der Cyberkriminellen wiederherstellen.

+++18.Mai, 8. September, 3. Oktober – Neue Eindringline und Kryptominer +++

Während sich die Memento-Gruppe im Netzwerk des Zielunternehmens aufhielt, drangen zwei weitere, verschiedene Cyberkriminelle über denselben verwundbaren Zugangspunkt ein und nutzten dabei ähnliche Sicherheitslücken. Diese Gruppen hatten jeweils Miner für Kryptowährungen auf demselben kompromittierten Server abgelegt. Eine von ihnen installierte am 18. Mai einen XMR-Kryptominer, während die andere am 8. September und erneut am 3. Oktober einen XMRig-Kryptominer einrichtete.

„Wir haben das schon oft erlebt: Wenn Sicherheitslücken im Internet bekannt und nicht gepatcht werden, nutzen Angreifer sie schnell aus und so tummeln sich plötzlich verschiedene Hackergruppen im selben Netzwerk. Je länger die Schwachstellen nicht behoben werden, desto mehr Angreifer werden auf sie aufmerksam", so Gallagher. „Cyberkriminelle durchsuchen das Internet ständig nach verwundbaren Online-Eingangsstellen und zögern nicht, wenn sie eine finden. Wenn mehrere Angreifer in ein System eindringen, bedeutet dies für die Opfer einen größeren Schaden und eine aufwändigere Wiederherstellung. Außerdem wird es für forensische Untersuchungen schwieriger zu klären, wer was getan hat. Genau das aber ist eine wichtige Information für die Bedrohungsbekämpfer, um Unternehmen dabei zu helfen, weitere Angriffe zu verhindern.“

Wichtig für die IT-Sicherheit – einige Hinweise

Dieser Vorfall, bei dem mehrere Angreifende einen einzigen ungepatchten, dem Internet ausgesetzten Server ausnutzten, zeigt einmal mehr, wie wichtig es ist, Patches schnell zu installieren und sich bei Drittanbietern, Vertragsentwicklern oder Dienstleistern über die Sicherheit ihrer Software zu informieren.


Artikel zu diesem Thema

Fadenkreuz
Nov 11, 2021

Ransomware-Angriff auf MediaMarkt – Warenhaus im Fadenkreuz

Knapp sechs Wochen vor Weihnachten beginnt allmählich der Einkaufsrausch in den…
Ransomware
Nov 06, 2021

Ransomware-Attacke: „Pay or not to Pay“

Im vergangenen Jahr wurden 71 Prozent der deutschen Unternehmen durch Ransomware-Angriffe…
Hacker
Okt 21, 2021

Der große Einfluss des kleinen Ransomware-Akteurs

Regelmäßig untersucht das McAfee Enterprise Advanced Threat Research (ATR)-Team die…

Weitere Artikel

Router

Hacker willkommen: Lücken in sämtlichen gängigen WLAN-Routern

Neun WLAN-Router bekannter Hersteller fanden sich kürzlich unter Laborbedingungen im Sicherheitstest wieder – mit verheerenden Ergebnissen im Bereich IT Security.
Ransomware 2.0

Schnelle Fortschritte bei Ransomware 2.0

Neue Techniken und Strategien machen Ransomware-Angriffe immer gefährlicher. Während herkömmliche Ransomware darauf abzielte, sich zu verbreiten und so viele Endgeräte wie möglich zu verschlüsseln, werden bei Ransomware 2.0-Angriffen fortschrittliche Methoden…
Linux

CronRat: Linux-Malware versteckt sich im Kalender

CronRat ist ein neuer Linux-Trojaner, der sich in den geplanten Aufgaben versteckt. Das Ausführungsdatum am 31. Februar ist natürlich ungültig, trotzdem entdecken ihn viele Sicherheitsprogramme nicht.
2022 KI

IT-Security-Trends 2022: KI macht Cyberangriffe gefährlicher

Cyberkriminalität steigt auch 2022 weiter an. Angreifer nutzen dabei konsequent jede Schwachstelle aus. Um ihre Ziele zu erreichen, setzen sie auf Multi-Ransomware-Angriffe und verwenden Künstliche Intelligenz (KI), mit der sie besseren Schadcode herstellen.
Phishing

Phishing-Kampagnen: Webseiten von Sparkasse und Volksbank werden imitiert

Die Security-Experten von Proofpoint haben eine Zunahme von Phishing-Kampagnen registriert, bei denen deutsche Bankkunden ins Visier der Cyberkriminellen geraten.
Geschenkkarten

Achtung: Drei Betrugsmethoden mit Geschenkkarten

Vor der Haupteinkaufszeit zu Weihnachten warnt Malwarebytes vor den Gefahren, die mit Geschenkkarten verbunden sind. Verbraucher müssen vor allem auf drei Betrugsmethoden mit Geschenkkarten achten, um Cyberkriminellen nicht in die Falle zu gehen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.