SophosLabs-Protokoll der Memento-Attacke

Memento Ransomware: Was nicht verschlüsselt werden kann, wird eingesperrt

Memento Ransomware sperrt Dateien in ein passwortgeschütztes Archiv, wenn sie die Daten nicht verschlüsseln kann. Forensische Analyse der SophosLabs gibt detaillierte Einblicke in das neue Vorgehen.

Wiesbaden 18. November 2021. Sophos hat heute Details zu einer neuen Ransomware von einer Gruppe namens Memento veröffentlicht. Die Studie „New Ransomware Actor Uses Password Protected Archives to Bypass Encryption Protection“ beschreibt den Angriff, der Dateien in einem kennwortgeschützten Archiv sperrt, wenn die Ransomware Memento die Zieldaten nicht verschlüsseln kann. 

Anzeige

„Von Menschen gesteuerte Ransomware-Angriffe sind selten eindeutig und linear“, sagt Sean Gallagher, Senior Threat Researcher bei Sophos. „Angreifer nutzen Gelegenheiten spontan, wenn sie sie finden oder manchmal unterlaufen ihnen auch Fehler. Dann ändern sie ihre Taktik ‘on-the-fly’, denn wenn es ihnen gelingt, in das Netzwerk eines Ziels einzudringen, wollen sie auf keinen Fall mit leeren Händen dastehen. Der Memento-Angriff ist ein gutes Beispiel dafür und erinnert uns daran, dass es wichtig ist, für Sicherheit auf allen Ebenen zu sorgen. Denn in diesem Fall haben die Angreifer nach einer durch ein Sicherheitsprogramm unterbundenen Datenverschlüsselung einen anderen Weg gefunden, ihr Ziel zu erreichen. Die Fähigkeit, Ransomware und Verschlüsselungsversuche zu erkennen und zu unterbinden, ist von entscheidender Bedeutung, aber es ist auch wichtig, über Sicherheitstechnologien zu verfügen, die vor anderen, Aktivitäten, wie zum Beispiel unerwartete Bewegungen und Aktivitäten im Netzwerk warnen können.“

Wie wichtig das ist, zeigt das SophosLabs-Protokoll der Memento-Attacke:

+++Mitte April 2021 – Es geht los. Eindringen ins Netzwerk+++

Sophos geht davon aus, dass die Memento-Gruppe Mitte April 2021 in das Netzwerk des Ziels eingedrungen ist. Die Angreifer nutzten eine Schwachstelle in VMware vSphere, einem internetbasierten Cloud-Computing-Virtualisierungstool, um in einen Server einzudringen. Die gefundenen forensischen Beweise deuten darauf hin, dass die Angreifer den Haupteinbruch Anfang Mai 2021 begannen.

Die Täter bewegten sich in den ersten Monaten unbemerkt durch das Netzwerk und stellten Erkundungen an. Sie setzten das Remote Desktop Protocol (RDP), den NMAP-Netzwerkscanner, den Advanced Port Scanner und das Plink Secure Shell (SSH) Tunneling-Tool ein, um eine interaktive Verbindung mit dem angegriffenen Server herzustellen. Die Kriminellen nutzten außerdem Mimikatz, um Zugangsdaten zu sammeln, die sie in späteren Phasen des Angriffs verwenden konnten.

+++20. Oktober 2021 – WinRAR kommt zum Einsatz+++

Laut den Sophos-Forscher:innen setzen die Cyberkriminellen am 20. Oktober 2021 das legitime Tool WinRAR ein, um eine Sammlung von Dateien zu komprimieren und sie über RDP zu exfiltrieren.

++++++23. Oktober 2021 – Roll-out der Ransomware und Plan B ++++++

Die Ransomware selbst kam erstmals am 23. Oktober 2021 ins Spiel. Sophos fand heraus, dass die Angreifenden zunächst versuchten, Dateien direkt zu verschlüsseln, was sich jedoch durch Sicherheitsmaßnahmen verhindern ließ. Die Cyberkriminellen änderten daraufhin ihre Taktik, rüsteten um und setzten die Ransomware erneut ein. Sie kopierten unverschlüsselte Dateien mit einer umbenannten kostenlosen Version von WinRAR in passwortgeschützte Archive, verschlüsselten dann das Passwort und löschten die Originaldateien.

Für die Wiederherstellung der Dateien forderten die Cyberkriminellen nun ein Lösegeld in Höhe von einer Million Dollar in Bitcoin. Glücklicherweise konnte das attackierte Unternehmen die Daten ohne die Beteiligung der Cyberkriminellen wiederherstellen.

+++18.Mai, 8. September, 3. Oktober – Neue Eindringline und Kryptominer +++

Während sich die Memento-Gruppe im Netzwerk des Zielunternehmens aufhielt, drangen zwei weitere, verschiedene Cyberkriminelle über denselben verwundbaren Zugangspunkt ein und nutzten dabei ähnliche Sicherheitslücken. Diese Gruppen hatten jeweils Miner für Kryptowährungen auf demselben kompromittierten Server abgelegt. Eine von ihnen installierte am 18. Mai einen XMR-Kryptominer, während die andere am 8. September und erneut am 3. Oktober einen XMRig-Kryptominer einrichtete.

„Wir haben das schon oft erlebt: Wenn Sicherheitslücken im Internet bekannt und nicht gepatcht werden, nutzen Angreifer sie schnell aus und so tummeln sich plötzlich verschiedene Hackergruppen im selben Netzwerk. Je länger die Schwachstellen nicht behoben werden, desto mehr Angreifer werden auf sie aufmerksam”, so Gallagher. „Cyberkriminelle durchsuchen das Internet ständig nach verwundbaren Online-Eingangsstellen und zögern nicht, wenn sie eine finden. Wenn mehrere Angreifer in ein System eindringen, bedeutet dies für die Opfer einen größeren Schaden und eine aufwändigere Wiederherstellung. Außerdem wird es für forensische Untersuchungen schwieriger zu klären, wer was getan hat. Genau das aber ist eine wichtige Information für die Bedrohungsbekämpfer, um Unternehmen dabei zu helfen, weitere Angriffe zu verhindern.“

Wichtig für die IT-Sicherheit – einige Hinweise

Dieser Vorfall, bei dem mehrere Angreifende einen einzigen ungepatchten, dem Internet ausgesetzten Server ausnutzten, zeigt einmal mehr, wie wichtig es ist, Patches schnell zu installieren und sich bei Drittanbietern, Vertragsentwicklern oder Dienstleistern über die Sicherheit ihrer Software zu informieren.

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.