von Redaktion IT-A…
Lesezeit
2 Minuten
Raffinierte Ransomware im Umlauf
Eine raffinierte Verschlüsselungs-Ransomware namens "Sodin" greift auf eine Windows-Sicherheitslücke zurück, um erhöhte Berechtigungen in einem infizierten System zu erlangen. Des Weiteren nutzt sie die CPU-Architektur aus, um ihre Erkennung zu vermeiden, und infiziert Rechner ohne Nutzerinteraktion.
Ransomware, die Geräte oder Daten verschlüsselt oder sperrt und Lösegeld
verlangt, ist eine ständige Cyberbedrohung für Privatanwender und
Unternehmen. Die meisten Sicherheitslösungen erkennen bekannte Versionen
und etablierte Angriffsmethoden. Die Sodin-Ransomware ist allerdings
anspruchsvoller und nutzt laut Kaspersky [1] eine Windows-Sicherheitslücke (CVE-2018-8453) aus, um ihre Rechte auf dem betroffenen System auszuweiten.
Die Malware scheint Teil eines RaaS-Programms (Ransomware-as-a-Service) zu sein. Die Hintermänner, die den Schädling in Umlauf bringen, können dabei frei entscheiden, wie der Verschlüsseler in Umlauf gebracht werden soll. Es gibt Anzeichen dafür, dass die Malware über ein Partnerprogramm verbreitet wird. So haben die Malware-Entwickler eine Lücke in der Funktionalität hinterlassen, die es ihnen ermöglicht, Dateien zu entschlüsseln, ohne dass ihre Partner es wissen: eine Art Hauptschlüssel, der nicht den Schlüssel des Partners beziehungsweise Verteilers zur Entschlüsselung benötigt. Damit können die Entwickler Opferdaten entschlüsseln sowie die Verteilung der Ransomware kontrollieren, indem beispielsweise bestimmte Distributoren aus dem Partnerprogramm ausgeschlossen werden und die Malware unbrauchbar gemacht wird.
"Ransomware ist eine sehr beliebte Art von Malware, aber es kommt nicht oft vor, dass wir eine so ausgefeilte und hochentwickelte Version sehen", erklärt Fedor Sinitsyn, Sicherheitsforscher bei Kaspersky. "Die Verwendung der CPU-Architektur, um unter dem Radar zu fliegen, ist für Verschlüsseler keine gängige Praxis. Wir erwarten einen Anstieg der Angriffe durch Sodin, da die Menge an Ressourcen, die zum Erstellen solcher Malware erforderlich sind, erheblich ist. Diejenigen, die in die Entwicklung der Malware investiert haben, erwarten auf jeden Fall, dass sie sich bezahlt machen."
Sodin hatte bisher vor allem Opfer im asiatischen Raum im Visier: 17,6 Prozent der Angriffe wurden in Taiwan, 9,8 Prozent in Hongkong und 8,8 Prozent in der Republik Korea entdeckt. Es wurden jedoch auch Angriffe in Europa – darunter auch Deutschland und Italien -, Nordamerika und Lateinamerika beobachtet. Die Ransomware-Notiz, die auf infizierten PCs hinterlassen wird, verlangt von jedem Opfer Bitcoin im Wert von 2.500 US-Dollar für die Entschlüsselung.
Komplexe und hochentwickelte Ransomware
Ransomware erfordert normalerweise eine Form der Interaktion des Nutzers wie das Öffnen eines Anhangs in einer Mail oder das Anklicken eines schädlichen Link. Bei Sodin ist dies anders: Die Angreifer suchten sich anfällige Server und sendeten einen Befehl zum Herunterladen einer schädlichen Datei namens „radm.exe“, wodurch die Ransomware lokal gespeichert und ausgeführt wurde.
Sodin nutzt zudem die sogenannte "Heaven's Gate"-Technik, wodurch die Ransomware schwer zu erkennen ist. Mit dieser Technik kann ein schädliches Programm 64-Bit-Code aus einem laufenden 32-Bit-Prozess ausführen, was keine alltägliche Praxis ist und bei Ransomware nicht häufig vorkommt.
Die Forscher glauben, dass diese in Sodin aus zwei Hauptgründen verwendet wird: Einerseits, um die Analyse des Schadcodes zu erschweren. Der Grund: Nicht alle Debugger (Software zur Code-Analyse) unterstützen diese Technik und können sie daher nicht erkennen; andererseits um der Erkennung durch installierte Sicherheitslösungen zu entgehen. Die Technik wird verwendet, um die emulationsbasierte Erkennung zu umgehen. Hierbei handelt es sich um eine Methode zum Aufdecken zuvor unbekannter Bedrohungen, bei der Code in einer virtuellen Umgebung gestartet wird, die einem realen Computer ähnelt. So soll verdächtiges Verhalten einer Software aufgedeckt werden.
dr
[1] https://securelist.com/sodin-ransomware/91473/
Die Malware scheint Teil eines RaaS-Programms (Ransomware-as-a-Service) zu sein. Die Hintermänner, die den Schädling in Umlauf bringen, können dabei frei entscheiden, wie der Verschlüsseler in Umlauf gebracht werden soll. Es gibt Anzeichen dafür, dass die Malware über ein Partnerprogramm verbreitet wird. So haben die Malware-Entwickler eine Lücke in der Funktionalität hinterlassen, die es ihnen ermöglicht, Dateien zu entschlüsseln, ohne dass ihre Partner es wissen: eine Art Hauptschlüssel, der nicht den Schlüssel des Partners beziehungsweise Verteilers zur Entschlüsselung benötigt. Damit können die Entwickler Opferdaten entschlüsseln sowie die Verteilung der Ransomware kontrollieren, indem beispielsweise bestimmte Distributoren aus dem Partnerprogramm ausgeschlossen werden und die Malware unbrauchbar gemacht wird.
"Ransomware ist eine sehr beliebte Art von Malware, aber es kommt nicht oft vor, dass wir eine so ausgefeilte und hochentwickelte Version sehen", erklärt Fedor Sinitsyn, Sicherheitsforscher bei Kaspersky. "Die Verwendung der CPU-Architektur, um unter dem Radar zu fliegen, ist für Verschlüsseler keine gängige Praxis. Wir erwarten einen Anstieg der Angriffe durch Sodin, da die Menge an Ressourcen, die zum Erstellen solcher Malware erforderlich sind, erheblich ist. Diejenigen, die in die Entwicklung der Malware investiert haben, erwarten auf jeden Fall, dass sie sich bezahlt machen."
Sodin hatte bisher vor allem Opfer im asiatischen Raum im Visier: 17,6 Prozent der Angriffe wurden in Taiwan, 9,8 Prozent in Hongkong und 8,8 Prozent in der Republik Korea entdeckt. Es wurden jedoch auch Angriffe in Europa – darunter auch Deutschland und Italien -, Nordamerika und Lateinamerika beobachtet. Die Ransomware-Notiz, die auf infizierten PCs hinterlassen wird, verlangt von jedem Opfer Bitcoin im Wert von 2.500 US-Dollar für die Entschlüsselung.
Komplexe und hochentwickelte Ransomware
Ransomware erfordert normalerweise eine Form der Interaktion des Nutzers wie das Öffnen eines Anhangs in einer Mail oder das Anklicken eines schädlichen Link. Bei Sodin ist dies anders: Die Angreifer suchten sich anfällige Server und sendeten einen Befehl zum Herunterladen einer schädlichen Datei namens „radm.exe“, wodurch die Ransomware lokal gespeichert und ausgeführt wurde.
Sodin nutzt zudem die sogenannte "Heaven's Gate"-Technik, wodurch die Ransomware schwer zu erkennen ist. Mit dieser Technik kann ein schädliches Programm 64-Bit-Code aus einem laufenden 32-Bit-Prozess ausführen, was keine alltägliche Praxis ist und bei Ransomware nicht häufig vorkommt.
Die Forscher glauben, dass diese in Sodin aus zwei Hauptgründen verwendet wird: Einerseits, um die Analyse des Schadcodes zu erschweren. Der Grund: Nicht alle Debugger (Software zur Code-Analyse) unterstützen diese Technik und können sie daher nicht erkennen; andererseits um der Erkennung durch installierte Sicherheitslösungen zu entgehen. Die Technik wird verwendet, um die emulationsbasierte Erkennung zu umgehen. Hierbei handelt es sich um eine Methode zum Aufdecken zuvor unbekannter Bedrohungen, bei der Code in einer virtuellen Umgebung gestartet wird, die einem realen Computer ähnelt. So soll verdächtiges Verhalten einer Software aufgedeckt werden.
dr
[1] https://securelist.com/sodin-ransomware/91473/
