Im Jahr 2019 waren zahlreiche Unternehmen, Kliniken und öffentliche Einrichtungen von Totalausfällen oder zumindest großflächigen Ausfällen ihrer IT betroffen. Unter anderem waren dies die Heise Verlagsgruppe, die Städte Neustadt und Frankfurt, das Klinikum Fürth, das Kammergericht Berlin sowie die Universitäten Gießen und Maastricht. Ursache für die oft wochen- bis monatelangen Ausfälle waren Angriffe von Cyberkriminellen, die auch in 2020 unvermindert weitergehen: Dies musste leider auch die Ruhr-Universität im Mai schmerzlich erleben. Aber sind diese Ausfälle tatsächlich alle auf eine Infektion mit der Schadsoftware „Emotet“ zurückzuführen, wie es sofort landauf, landab raunt, wenn derartige Vorfälle bekannt werden?
Dankeswerterweise sprechen einige der Betroffenen
sehr offen über die Angriffe, damit andere
die Chance haben, daraus zu lernen. Die Heise
Verlagsgruppe und die Stadt Neustadt beispielsweise
beschreiben ein mehrstufiges Verfahren,
das die Angreifer angewandt haben:
Der initiale Zugriff auf das Netzwerk erfolgte
über eine Spam-E-Mail, die im Anhang ein Office-
Dokument mit Makros enthielt. Durch Ausführung
der Makros wurde das Schadprogramm
„Emotet“ heruntergeladen und gestartet. Bei
Emotet handelt es sich um einen Downloader,
der auf einem infizierten System Outlook-Kontakte
und -Korrespondenzen ausliest und diese
an sogenannte Command-und-Control-Server
(C&C-Server) ins Internet überträgt. Der Schadcode
versendet sich anschließend an die ausgespähten
Kontakte. Zur Generierung täuschend
echt aussehender E-Mails werden Beziehungen
zwischen Absender und Empfänger analysiert sowie
Ausschnitte der Korrespondenz genutzt: Die
gefälschten E-Mails sehen wie eine Antwort auf
eine E-Mail aus, die der Empfänger selbst kürzlich
an den Absender geschickt hat. Emotet besitzt
ferner die Fähigkeit, sich lateral auf andere
Systeme des kompromittierten Netzwerks auszubreiten
und weiteren Schadcode nachzuladen.
In den beschriebenen Fällen waren dies Trickbot
und Ryuk.
Trickbot besitzt ausgefeilte Fähigkeiten, ein
Netzwerk zu erkunden. Die „Befunde“ werden
an einen C&C-Server gesendet und dort von den
Angreifern analysiert. Sobald interessante Ergebnisse
dabei sind, beispielsweise ausgespähte
Accounts mit weitreichenden administrativen
Rechten und Zugriff auf sensible Datenbestände,
schlagen die Angreifer zu: Daten werden abgezogen
und mit Ryuk verschlüsselt. Den Code zum
Entschlüsseln kann das Opfer gegen Zahlung von
Lösegeld erwerben. Es wird aber auch gedroht,
sensible Datenbestände zu veröffentlichen, wenn
das Lösegeld nicht gezahlt wird.
Auch die Universität Maastricht gab auf
einem Symposium Details zum Angriff bekannt
und beschrieb ebenfalls ein mehrstufiges Verfahren:
Der initiale Zugriff auf das Netzwerk erfolgte auch hier über eine Spam-E-Mail mit
einem makrobehafteten Excel-Dokument im
Anhang. Bei Ausführung der Makros wurde eine
Malware namens SDBbot geladen. Mithilfe
von SDBbot konnten die Angreifer weitere „legitime“
Werkzeuge wie Meterpreter, PingCastle
und PowerSploit nachladen. Diese Tools dienen
zum Aufdecken von Schwachstellen innerhalb
eines Netzwerks und werden auch von Sicherheitsfirmen
genutzt. Dadurch waren die Angreifer
an einen administrativen Account der Domain
gelangt. Anschließend wurde die Ransomware
CLOP ausgerollt.
An der Ruhr-Universität erfolgte der initiale
Zugriff über einen übers Internet erreichbaren
Remote Desktop Server.
IT-Sicherheitsfirmen haben tausende von Angriffen
analysiert und können so die Vorfälle anhand
der verwendeten Tools, Strategien und
Techniken Gruppierungen von Cyberkriminellen
zuordnen (siehe dazu auch Mitre Att&ck). Diese
werden üblicherweise mit einem Codenamen
bezeichnet, da in den wenigsten Fällen die tatsächlichen
Akteure bekannt sind. Crowdstrike beschreibt
im Global Threat Report 2020, dass es
sich um arbeitsteilig arbeitende Banden handelt:
Emotet wird demnach von einer Gruppe namens
Mummy Spider „gepflegt“ und anderen gegen
anteilige Zahlung aus den Erpressungserlösen
überlassen. Die Gruppe Wizard Spider entwickelt
die Schadsoftware Trickbot und Ryuk und nutzt
Emotet. Der Angriff auf Maastricht konnte von
der analysierenden Sicherheitsfirma FOX-IT der Cybergang Threat Actor 505 (TA505) zugeordnet
werden. Pinchy Spider ist eine Gruppe, die Ransomware
an „Geschäftspartner“ vermietet. Eine
lukrative Angelegenheit: Pinchy Spiders Ransomware
Gandcrab hat laut Angaben der Entwickler
2 Milliarden Dollar eingebracht. Im Mai 2019 gab
die Gruppe bekannt, sich in den Ruhestand zu begeben.
Allerdings scheinen sie mit der neuen Ransomware
REvil alias Sodinokibi wieder durchzustarten.
In einer forensischen Analyse von Revil fanden sich zwei Links auf Webseiten im Tor-Netzwerk:
Eine Site dient als Auktionsplattform für die
Daten aus den Einbrüchen. Für Daten aus einem
Angriff auf eine New Yorker Anwaltskanzlei, die
auch Prominente vertritt, werden 42 Millionen
Dollar gefordert.
Generell ist laut Crowdstrike die Tendenz festzustellen,
dass Angreifer nicht mehr nur auf automatisierte
Ransomware Angriffe setzen, sondern
Opfer gezielt aussuchen, um damit mögliche
Erlöse zu steigern.
Für einige der Protagonisten lobt das FBI hohe Belohnungen aus: Für Hinweise zur Ergreifung von Maksim Viktorovich Yakubets ist eine Belohnung von bis zu 5 Millionen Dollar ausgesetzt. Er soll zusammen mit dem ebenfalls gesuchten Igor Olegowich Turashev die Cybergang EvilCorp anführen. Diese Bande steckt u.a. hinter dem Bankingtrojaner und Downloader Dridex und der Ransomware BitPaymer. Yakubets führt ein luxuriöses Leben in Russland. Er liebt speziell gestaltete Lamborghinis und große Feste.
RUBInform 01/2020 | Brigitte Wojcieszynski
Bildquellen:
istock.com | mikkelwilliam