Keine Solidarität unter Kriminellen

Wie sich Ransomware-Gruppen gegenseitig bekämpfen

Eine Ransomware-Attacke genügt den meisten Unternehmen bereits als Belastungsgrenze. Aber zwei auf einmal sind ein Apokalypse-Szenario, wenn auch für Sicherheitsprofis durchaus spannend. Sophos hat den seltenen Fall genauer untersucht, der gleichzeitig ein Aufeinandertreffen von modernen und traditionellen Ransomware-Taktiken ist.

(Bild: Sophos Technology GmbH)

Sophos veröffentlicht seine Forschungsergebnisse zu einem zweifachen Ransomware-Angriff, bei dem ein Erpresserschreiben von den Operateuren der Karma-Ransomware 24 Stunden später durch die Conti-Gruppe verschlüsselt wurde. Conti, eine weitere Ransomware-Gemeinschaft, agierte zur selben Zeit im befallenen Netzwerk. Die Sophos-Analysten zeichnen den dualen Angriff detailliert in ihrem Bericht nach und erklären, wie sich beide Akteure Zugang via ungepatchtem Microsoft-Exchange-Server zum Netzwerk verschafften. Danach aber nutzten sie unterschiedliche Taktiken, um ihre Attacken auszuführen. Sean Gallagher, Senior Threat Researcher bei Sophos, erklärt, wie sich Karma und Conti verhielten: „Opfer einer zweifachen Ransomware-Attacke zu werden, ist für jede Organisation ein Alptraum-Szenario. Insgesamt lässt sich eine Periode von vier Tagen ausmachen, in der Conti- und Karma-Angreifer simultan im anvisierten Netzwerk agierten: sie bewegten sich umeinander, machten Downloads, führten Skripte aus, installierten Cobalt Strike und sammelten und exfiltrierten Daten. Die Karma-Akteure rollten die letzte Phase ihres Angriffs als erste aus und hinterließen eine Erpressernotiz auf den Computern, die eine Bitcoin-Zahlung forderte. Als Ausgleich würden die gestohlenen Daten nicht veröffentlicht. Dann schlug Conti zu und verschlüsselte die Zieldateien mit einer eher traditionellen Ransomware-Methode – mit dabei ironischerweise auch der Karma-Erpresserbrief. Wir sehen in letzter Zeit immer mehr Fälle, in denen sich Hackergruppen, die die gleiche Ransomware für ihre Attacken nutzen, zusammentun und ProxyShell-Exploits ausnutzten, um das Zielnetzwerk zu infiltrieren. Es gibt auch Beispiele verschiedener Akteure, die die gleiche Schwachstelle ausnutzten, um sich Zugang zu ihrem Opfer zu verschaffen. Der jetzige Fall, bei dem zwei völlig unabhängige Ransomware-Gruppen zeitgleich ein Ziel attackierten zeigt, wie überlaufen und konkurrierend die Ransomware-Landschaft geworden ist.“

Die duale Attacke – eine zeitliche Abfolge

10. August 2021

• Die Sophos-Analysten gehen davon aus, dass an diesem Tag die Attacke gestartet wurde. Die Kriminellen, möglicherweise initiiert durch Access Broker, die als eine Art Makler im Cybercrime-Ökosystem fungieren und gestohlene Zugänge zu Systemen verkaufen, nutzen eine ProxyShell-Schwachstelle, um sich Zugang zum Netzwerk zu verschaffen und sichern sich auf dem kompromittierten Server einen Stützpunkt.

30. November 2021

• Die Untersuchung offenbart, dass fast vier Monate verstrichen, bevor Karma am 30. November 2021 auftauchte und mehr als 52GB an Daten in die Cloud exfiltrierte.

03. Dezember 2021

• An diesem Datum finden gleich drei Aktionen statt. Die Karma-Angreifer hinterlassen eine Erpressernotiz auf 20 Computern mit der Forderung nach Lösegeld, sonst würden sie die Daten nicht entschlüsseln. Conti operierte derweil still im Hintergrund und exfiltrierte Informationen. Für Hilfe gegen die Karma-Attacke holte sich das Opfer das Sophos Incident Response Team an Bord.

04. Dezember 2021

• Conti rollt seine Ransomware aus. Das Sophos-Team verfolgte in den forensischen Untersuchungen den Start der Conti-Attacke auf eine andere ProxyShell-Schwachstelle, die am 25. November 2021 eingesetzt wurde.

(Bild: Sophos Technology GmbH)

Gallagher empfiehlt als Schutzvor solchen Angriffen die Kombination von Technologie und menschlicher Expertise: „Ob der anfängliche Access Broker den Zugang an zwei verschiedene Ransomware-Gruppen verkauft hat, oder ob der vulnerable Exchange-Server nur ein unglückliches Ziel für multiple Ransomware-Angreifer war, bleibt ungewiss. Fakt ist, dass eine zweifache Ransomware-Attacke möglich war. Dies ist ein schlagkräftiges Argument dafür, bekannte Schwachstellen sofort zu patchen und auf ein kommunizierendes IT-Security-System zu setzen, das Angreifer in jeder Phase ihrer Attackenkette identifizieren und blockieren kann. In einem weiteren Schritt kann die proaktive, Menschen-geführte Bedrohungssuche jegliches verdächtige Verhalten genauestens untersuchen. Dazu gehören etwa unerwartete Remote-Logins oder der Gebrauch legitimer Werkzeuge über ihr normales Muster hinaus – all diese Situationen können frühe Anzeichen für eine unmittelbar bevorstehende Ransomware-Attacke sein.“

Das könnte Sie auch interessieren:

Erneuter Anstieg
Geschäftsklimaindex steigt auf 93,3 Punkte

Der Ifo-Geschäftsklimaindex ist im März auf 93,3 Punkte geklettert und verzeichnet damit den fünften Anstieg in Folge.‣ weiterlesen

Xavier Hamers wird Leuze CEO

Der Sensorhersteller Leuze gibt Veränderungen in der Geschäftsführung bekannt. Mit Wirkung zum 1. April wird Xavier Hamers CEO der Unternehmensgruppe.‣ weiterlesen

System- und Technologiepartnerschaft
Wago setzt auf Rexroth-Betriebssystem

Wago wird erster System- und Technologiepartner für das echtzeitfähige, Linux-basierte Betriebssystem ctrlX OS von Bosch Rexroth. Gemeinsam wolle man die offene Lösung weiterentwickeln, als Standard vorantreiben und branchenspezifischer Apps auf den Markt bringen.‣ weiterlesen

VDMA kooperiert mit der Rapid.Tech 3D

Der VDMA Additive Manufacturing wird ab 2024 ideeller Träger der Rapid.Tech 3D. Bereits in diesem Jahr will sich die Arbeitsgemeinschaft mit einem Format zum Thema Bildung engagieren‣ weiterlesen

Drei Projekt ausgewählt
Hermes Award: Die Nominierten stehen fest

Der Gewinner des Hermes Awards wird am 16. April bekanntgegeben. Die Jury hat nun die drei nominierten Unternehmen bekanntgegeben: ACS Climatics, Beckhoff und Bosch Rexroth.‣ weiterlesen

Software-Lieferkette auf Schadcode scannen

Checkmarx hat den Launch von Supply Chain Threat Intelligence bekanntgegeben. Das System stellt Bedrohungsinformationen zu hunderttausenden schädlichen Code-Paketen, zur Reputation der beteiligten Entwickler, zu schädlichen Verhaltensmustern und mehr bereit.‣ weiterlesen

Beitrag zum digitalen Zwilling
PTC tritt IDTA bei

Die Industrial Digital Twin Association hat mit PTC ein neues Mitglied. Gestartet mit 23 Organisationen, umfasst die Initiative nun 94 Mitglieder.‣ weiterlesen

KI-basierte Software
Zusammenbau per AR-Anleitung

Industrielle Montagelinien sind vielfältig: Einige arbeiten mit häufig wechselnden Produktaufbauten, während sich andere durch komplexe Prozesse und hohen Abstimmungsbedarf zwischen Werker und weiteren Experten auszeichnen. Das Fraunhofer IGD will Anwender mit einer Kombination aus Augmented Reality (AR) und künstlicher Intelligenz (KI) unterstützen.‣ weiterlesen

Neuer Rekord
Neuer 1 Million Roboter in der Autoindustrie weltweit

Rund 1 Million Industrieroboter werden allein im Automotive-Bereich eingesetzt. Laut der International Federation of Robotics ein Rekordwert. Das größte Wachstum beobachtet der Robotik-Verband derzeit in China.‣ weiterlesen

Geopoltische Sorgen auf Platz eins
Sorgen deutscher Mittelständler verschieben sich

Die Sorgen der Unternehmensleiter haben sich laut einer Untersuchung der Unternehmensberatung Kloepfel Consulting verschoben. Waren im September 2022 noch steigende Kosten die Hauptsorge, sorgt sich die Mehrheit der befragten Führungskräfte aktuell vor geopolitischen Risiken.‣ weiterlesen

Sichere Firewall
4 grundlegende Tipps

Firewalls gehören in Unternehmen zu den wichtigsten Sicherheitskomponenten, um das Netzwerk vor Angriffen zu schützen. Mehr noch, im integrierten und vernetzen Zusammenspiel mit weiteren Security-Lösungen, beispielsweise für die Endpoint-, Mobile- oder Cloud-Security und mit den immer wichtigeren Security-Services durch menschliche Experten, fügt sich die Firewall in ein ganzheitliches Security-Ökosystem ein, das alle IT-Bereiche im Unternehmen bestmöglich vor Angriffen und vor Schäden bewahren kann.‣ weiterlesen