Sicherheitswoche 22: Ransomware in einer virtuellen Maschine

Letzte Woche haben Sophos-Spezialisten die Details eines interessanten Ragnar Locket-Verschlüsselungstrojaners enthüllt (Artikel in ZDNet , technischer Beitrag auf Sophos 'Blog). Die Ransomware zieht eine vollwertige virtuelle Maschine in das angegriffene System, in dem sie startet, Zugriff auf das Host-Dateisystem erhält und die Daten verschlüsselt. Dieser Fall zeigt unter anderem, dass die Inflation der Installer Malware erreicht hat. Um den tatsächlichen Schadcode mit einer Größe von 49 Kilobyte zu verbergen, wird dem Opfer ein 122-Megabyte-Installationsprogramm bereitgestellt, das auf 282 Megabyte dekomprimiert wird.

Laut Sophos verwendet die Ransomware eine geschäftsorientierte Gruppierung. Ein Beispiel ist der Angriff auf den Stromversorger Energias de Portugal. Angeblich wurden ihnen 10 Terabyte Daten gestohlen, und 1580 Bitcoins wurden von Cyberkriminellen zur Entschlüsselung verlangt. In den Medien wird ein Betrieb einer virtuellen Maschine als effektiver Trick zur Umgehung von Antivirensoftware beschrieben. In Wirklichkeit erfordert eine solche „Innovation“ jedoch keine Änderungen der Sicherheitstechnologien.

Es ist nur die korrekte Anwendung vorhandener erforderlich.

In dem Bericht des Unternehmens wurde nicht genau angegeben, wie der Computer infiziert ist. Um ein bösartiges Objekt zu starten, müssen Sie entweder den Benutzer davon überzeugen oder die Sicherheitsanfälligkeit ausnutzen. Es gibt nur einen Hinweis darauf, Lücken oder einfache Kennwörter für eine RDP-Verbindung auszunutzen. Erwähnt werden auch Angriffe auf Managed Service Provider, dh Remote-Administratoren eines anderen Unternehmens, die uneingeschränkten Zugriff auf die Infrastruktur des potenziellen Opfers haben. Genug, um sich in eine solche Organisation zu hacken, um ihre Kunden angreifen zu können.

Und dann ist alles einfach. Auf dem Computer ist eine virtuelle Oracle Virtualbox-Maschine installiert, die unglaublich alt ist - die Version 2009, ebenfalls im Auftrag von Sun. Mit dem Skript werden die Konfigurationsparameter der virtuellen Maschine übertragen. Ein abgeschnittenes Image von Windows XP wird gestartet (MicroXP 0.82, Build 2008). Eine virtuelle Netzwerkverbindung wird hergestellt und der Zugriff auf alle Festplatten auf dem Host steigt:

Der Verschlüsselungsprozess wird in der Sophos-Veröffentlichung nicht beschrieben. Vor ihm schließt ein anderes Skript die Liste der Anwendungen und Dienste auf dem Hauptsystem, um die bearbeitbaren Dateien zu entsperren. Am Ende wird eine Textdatei mit Lösegeldforderung auf dem angegriffenen Computer abgelegt.

Hier gibt es keine fortschrittlichen Technologien: Dies ist eine vorbereitete virtuelle Maschine und eine Reihe von Skripten. Aus Sicht einer Schutzlösung unterscheidet sich ein solcher Angriff nicht grundlegend vom Erscheinungsbild eines infizierten Computers mit Zugriff auf Netzwerkordner im Unternehmensnetzwerk. Ja, es gibt eine Nuance - offensichtlich wird auf dem angegriffenen Computer nicht einmal schädliche Software angezeigt: Sie ist in einem virtuellen Image versteckt und es wird nur legitime Software gestartet.

Das Problem wird gelöst, indem das Verhalten des Programms oder der Aktionen vom Remotecomputer auf eindeutige Markierungen analysiert wird. "Ich möchte hier etwas verschlüsseln." Ein merkwürdiger Weg, um bei der Entwicklung komplexer schädlicher Technologien zu sparen.

Was ist sonst noch passiert?

Das Register hat veröffentlicht Details des Angriffs auf EasyJet. Zwischen Oktober 2019 und Januar 2020 haben Cyberkriminelle einer relativ kleinen Anzahl von Kunden Kreditkarteninformationen gestohlen (nach offiziellen Angaben etwa 2200). Den Berichten der Opfer nach zu urteilen, hat das Durchsickern von Reservierungsinformationen (aber nicht von Zahlungsdaten) Millionen von Benutzern betroffen.

Trustwave berichtet, dass Angreifer den Google Firebase-Dienst verwenden. Ein für Entwickler erstellter Dienst wird zum Hosten von Phishing-Seiten verwendet. Dies ist nur einer von vielen Versuchen, die legitimen Tools von Google bei Cyber-Angriffen einzusetzen.

Cyberkriminelle greifen Dienste an, um Opfern einer Pandemie eine Entschädigung zu zahlen. Frisch (aber nicht der einzige)Ein Beispiel sind Angriffe auf Regierungsdienste in den Vereinigten Staaten. Die Gruppe, die angeblich von Nigeria aus operiert, verwendet Daten von Einwohnern und Unternehmen, um eine Entschädigung auf ihr Bankkonto zu überweisen.

Der mutmaßliche Vertreiber der als Sammlung 1 bekannten Datenbank mit Benutzernamen und Passwort wurde festgenommen . Ursprünglich auf dem Schwarzmarkt verfügbar, wurde diese Datenbank mit 773 Millionen Einträgen im vergangenen Januar öffentlich zugänglich gemacht.

Forscher aus dem Vereinigten Königreich, Deutschland und die Schweiz eine neue Schwachstelle im Bluetooth - Protokoll gefunden ( Nachrichten , Forschung Arbeit) Durch Mängel im Autorisierungsprozess kann ein Angreifer ein Gerät simulieren, mit dem das Opfer bereits eine Verbindung hergestellt hat. Das Problem wurde an einer Stichprobe von 31 Geräten mit Bluetooth auf 28 verschiedenen Chipsätzen bestätigt.