Was ist RobbinHood Ransomware und wie schützt man sich davor?
RobbinHoodist nach dem mittelalterlichen Gesetzlosen benannt, nur mit einer anderen Schreibweise – dem Robin Hood aus Sherwood Forest hat nur ein „b“
Cybersicherheitsforscher bemerkten diese Ransomware erstmals im April 2019. Der erste große Angriff erfolgte auf die Büros der Stadt Greenville in North Carolina, und im darauffolgenden Monat griff es die Stadt Baltimore, Maryland, an.
Wie die meisten Ransomware-Programme greift RobbinHood Computer an, auf denen das ausgeführt wird Windows Betriebssystem. Die Malware führt einen Low-Level-Kernel ein, der für ein von Gigabyte entwickeltes Motherboard gedacht ist. Dieses System ist veraltet und für seine Fehler bekannt. Daher müssen Unternehmen, die sich von einem RobbinHood-Angriff erholen, ihre Dateien wiederherstellen Installieren Sie das Betriebssystem neu bis hin zum BIOS, um diesen Fehler zu beheben. Leider wird dieses Kernel-Problem nicht automatisch für diejenigen behoben, die das Lösegeld zahlen, um den Entschlüsselungsschlüssel zu erhalten.
Woher kommt RobbinHood?
RobbinHood gehört weder zu einer Ransomware-Familie noch ist es das Produkt einer bekannten Hackerbande. Cybersicherheitsanalysten wissen nichts über die Gruppe, die RobbinHood gegründet hat, oder wo sie ansässig ist. Allerdings gibt es einen Hinweis in der für RobbinHood erstellten Lösegeldforderung. Der zweite Absatz endet mit: „Verschwenden Sie also keine Zeit und beeilen Sie sich! Tik Tak, Tik Tak, Tik Tak!“
Uhren sagen in verschiedenen Sprachen unterschiedliche Dinge – auf Englisch hören wir Uhren sagen: „ Tick Tack .“ Auf japanischen Uhren steht „ Kachi Kachi “, auf Chinesisch ist es „ Dida dida “, und auf Koreanisch steht auf den Uhren „ Ttok ttak .“ Uhren sagen „ Tick Tack ” auf Niederländisch und Russisch. Angesichts der Tatsache, dass die meiste Ransomware weltweit in Russland produziert wird, ist dies wahrscheinlicher RobbinHood ist Russe statt Niederländisch.
Ein weiterer Hinweis darauf, dass es sich hierbei um die Arbeit von Russen handelt, ist, dass der Code für eines der Module, Steel.exe, auf ein Benutzerverzeichnis mit dem Namen verweist Michail .
Wie gelangt die RobbinHood-Ransomware auf einen Computer?
Die RobbinHood-Ransomware nutzt verschiedene Methoden, um auf einen Computer zu gelangen. Die Ransomware erscheint in erster Linie als Anhang zu einem Phishing-E-Mail . Dadurch wird der Benutzer dazu verleitet, den Anhang herunterzuladen und auszuführen. Eine andere Methode ist durch infizierte Websites . Diese Malware fügt der Website ein Popup hinzu, das den Benutzer darüber informiert, dass der Browser veraltet ist. Wenn Sie im Popup auf „OK“ klicken, wird ein Download ausgeführt, der bei der Ausführung den ersten Teil des RobbinHood-Angriffs anstelle des versprochenen Browser-Updates installiert. Eine weitere Verteilungsmethode ist die Durchverteilung File-Sharing-Systeme . Das Installationsprogramm gibt sich als begehrenswertes Video aus, um Menschen dazu zu verleiten, es herunterzuladen und zu öffnen.
Der erste Teil des Installationsprogramms ist ein legitimes Programm, das eine Sicherheitslücke aufweist. Das ist ein Fahrer für ein Gigabyte-Motherboard. Der Fahrer ist das sogenannte der Kernel . Es interpretiert Betriebssystembefehle in Aktionen auf den physischen Komponenten des Computers. Leider hat dieser Treiber ein Käfer, und es wurde von Gigabyte veraltet. PCs wissen jedoch nicht, dass die Datei nicht mehr gültig ist, da sie über alle erforderlichen Sicherheitsfreigaben verfügt.
Sobald dieser Treiber auf dem Computer installiert ist, stellt er dem Hacker durch den bekannten Fehler einen Einstiegspunkt zur Verfügung. Der Treiber ermöglicht das Laden anderer Systemdateien und das Ersetzen bestehender Systeme. Dies gelangt unter das Dateiverwaltungssystem von Windows und ermöglicht es den Hackern, Sperren von Dateien aufzuheben. Es ermöglicht Hackern auch Batch-Dateien Prozesse abtöten .
Was passiert bei einem RobbinHood-Ransomware-Angriff?
Die Batchdateien, die das Installationsprogramm lädt, töten viele laufende Prozesse, darunter Antivirensysteme . Ohne die Ausführung der Antivirensoftware kann die Malware unentdeckt ausgeführt werden. Außerdem werden alle Editoren beendet, in denen möglicherweise eine Datei geöffnet ist. Dazu gehören Word und Excel. Eine zur Bearbeitung geöffnete Datei kann nicht mit einer verschlüsselten Version überschrieben werden.
Überraschenderweise trennt die Malware alle angeschlossenen Laufwerke. Dies scheint eine verpasste Gelegenheit zu sein, sich auf andere Computer auszubreiten. Es scheint jedoch, dass der Workflow des Verschlüsselungsprozesses berücksichtigt werden muss jeweils einen Computer . Ein Replikationsdienst innerhalb des Ransomware-Pakets wird erwartet verbreiten Die Verschlüsselung kann auf andere Computer im Netzwerk übertragen werden. Daher wird jeder Endpunkt separat verschlüsselt.
Die Ransomware war sehr erfolgreich darin, das gesamte Unternehmenssystem, das sie infizierte, in Besitz zu nehmen. Die Verschlüsselung wird jedoch nicht sofort implementiert wartet bis viele Computer infiziert wurden. Analysten wissen nicht, woher der Verantwortliche für die Ransomware weiß, wann genügend Endpunkte erreicht wurden. Es kann ein Standard-Netzwerküberwachungstool verwenden, um eine Liste aller Endpunkte zu erstellen, die mit demselben Netzwerk wie das verbunden sind anfängliches Ziel .
Die RobbinHood-Ransomware scheint mithilfe von auf andere Computer in einem Netzwerk überzugehen Remotedesktopprotokoll (RDP). Einige Websites erfordern kein Passwort für dieses Protokoll, das als Dienstprogramm im Windows-Betriebssystem implementiert ist. Ein weiterer Sicherheitsfehler dieses Systems besteht darin, ein leicht zu erratendes Passwort zu verwenden, z Passwort oder 123456789 .
Die letzte Phase der Vorbereitung ist a Aufräumen , wodurch alle Protokolldateien gelöscht und die Schattenkopien entfernt werden, die von AutoSave-Funktionen erstellt werden. Dieses Finale vor dem Angriff deaktiviert auch die Startwiederherstellungsmodus von Windows.
Der RobbinHood-Verschlüsselungsprozess
Nachdem alle diese Aufgaben ausgeführt wurden, um sich über ein Netzwerk auszubreiten und den Kernel jedes kompromittierten Computers zu verändern, kann der Angriff immer noch abgebrochen werden. Die Hacker haben einen Last-Minute-Vorfall vor Ort eingebaut Kontrollmechanismus .
Die Verschlüsselung verwendet zwei Verschlüsselungsebenen, wobei der äußere Wrapper mit durchgeführt wird RSA , ein Verschlüsselungssystem mit öffentlichem Schlüssel. Bevor die Verschlüsselungsroutine beginnt, sucht die Ransomware nach einem gespeicherten RSA-Verschlüsselungsschlüssel im Windows-Temp-Verzeichnis. Der Dropper hat diese Datei wahrscheinlich für das Ransomware-Paket installiert. Wenn der Verschlüsselungsprozess es jedoch nicht finden kann, ist die gesamte Ransomware-Prozedur der Fall abgesagt .
Wenn man bedenkt, dass das gesamte System gemeinsam von demselben Dropper installiert wird, warum könnte es dann sein, dass die Schlüsseldatei nicht vorhanden ist? Es ist möglich, dass einer der früheren Prozesse optional die Verschlüsselungsschlüsseldatei löscht. Russische Hacker werden keine Computer angreifen, die dies getan haben Russisch als Systemsprache. Diese Höflichkeit erstreckt sich auf die Sprachen aller Nationen der ehemaligen UdSSR mit Ausnahme der baltischen Staaten. Das Aufklärungsverfahren kann die Schlüsseldatei löschen, wenn eine geschützte Staatsangehörigkeit festgestellt wird.
Der Verschlüsselungsprozess verwendet eine AES Verschlüsselung mit einem neuen Schlüssel für jede Datei. Der ursprüngliche Name jeder Datei und der zum Verschlüsseln verwendete Schlüssel werden dann in einer Datei gespeichert, die mit der RSA-Verschlüsselung mithilfe von verschlüsselt wird 4096-Bit-Schlüssel im Temp-Verzeichnis entdeckt. So kann jeder Angriff über denselben RSA-Schlüssel identifiziert werden, der viele AES-Schlüssel schützt.
Da jede Datei verschlüsselt ist, wird ihr Name in „Encrypted_“ geändert.
Das RobbinHood-Lösegeld
RobbinHood lässt vier Exemplare davon fallen Lösegeldforderung im Textformat auf dem verschlüsselten Laufwerk und generiert eine HTML Version, die auf dem Bildschirm des Opfers angezeigt wird. Diese Bedarfsnotiz enthält einen Link zu einem Kontaktformular. Allerdings kann die Zielseite nur in einem Tor-Browser geöffnet werden. Die Hacker geben dem Opfer vier tage zu zahlen das Lösegeld, oder es erhöht sich um 10.000 US-Dollar pro Tag, wenn es nicht ausgegeben wird. Der Hinweis erklärt das auch einmal zehn Tage ohne Zahlung erfolgt sind, wird die Aufzeichnung des Entschlüsselungsschlüssels gelöscht und alle Chancen auf Wiederherstellung gehen dauerhaft verloren.
Berichten zufolge halten Hacker ihr Versprechen ein und liefern es auch ein Entschlüsseler und der Schlüssel für diejenigen, die zahlen. Das ursprüngliche Lösegeld liegt zwischen 0,8 Bitcoin und 13 Bitcoin, je nachdem, wie viele Computer infiziert wurden.
Die Lösung des Problems wird am Ende mehr kosten als nur das Lösegeld. Beispielsweise errechnete die Stadt Greenville, dass sich ihre gesamten Wiederherstellungskosten auf 18,2 Millionen US-Dollar beliefen – einschließlich des Lösegelds, das sie zahlte.
Verhinderung von RobbinHood-Ransomware-Angriffen
Wie bei jeder Malware ist Vorbeugen besser als Heilen. Das große Problem, mit dem Sie konfrontiert werden, ist nicht der Datenverlust, sondern das Chaos fehlerhafter Kernel Installationsursachen. Sie müssen jeden Computer zerlegen und das gesamte Betriebssystem von Grund auf neu installieren.
Dank dieser Schlüsseldateiprüfung können Sie jeden Computer schnell gegen die RobbinHood-Verschlüsselung immunisieren. Leider verwenden verschiedene Versionen unterschiedliche Namen für diese Datei. Es könnte zum Beispiel sein pub.key oder key.pub . Allerdings ist es immer in der C:WindowsTemp Ordner. Erstellen Sie also für jeden dieser Namen eine leere Datei Schreibschutz ihnen. Auf diese Weise kann das Installationsprogramm für RobbinHood die Schlüsseldatei nicht kopieren, und wenn der Verschlüsselungsprozess beginnt, findet es den Schlüssel nicht und stürzt daher ab.
Sie werden jedoch immer noch mit diesem Kernel-Problem zu kämpfen haben. Ein vollständiges Malware-Schutzsystem ist ein besserer Plan als eine schnelle Lösung, um einen bestimmten Ransomware-Typ zu blockieren. Hier sind zwei Systeme, die Sie zum Schutz vor RobbinHood-Ransomware und jeglicher Malware in Betracht ziehen sollten.
1. CrowdStrike Falcon Insight (KOSTENLOSE TESTVERSION)
CrowdStrike Falcon Insight ist ein gutes Sicherheitspaket zum Schutz davor eine breite Palette von Malware , einschließlich RobbinHood-Ransomware. Leider hat RobbinHood vier Versionen durchlaufen und die neueste Software für das System enthält nur 23 Prozent des Originalcodes. Dies verdeutlicht ein Problem bei herkömmlichen AVs, die lediglich nach bestimmten Dateinamen oder Prozessen suchen, um Malware zu erkennen – selbst die gleiche Malware entwickelt sich im Laufe der Zeit weiter und erzeugt diese verräterische Zeichen veraltet. Stattdessen verwendet Falcon Insight ein anpassbares Erkennungssystem, das neue Malware erkennt.
Das Falcon Insight-System ist eine nächste Generation Endpunkterkennung und -reaktion (EDR)-Dienst. Dies verfolgt alle Aktivitäten auf einem Endpunkt und identifiziert regelmäßige Aktivitäten für jedes Benutzerkonto. Das System schlägt Alarm, wenn plötzlich untypisches Verhalten auftritt. Der RobbinHood-Trick, einen neuen Kernel zu installieren, würde in diese Kategorie passen abnormales Verhalten .
Der CrowdStrike Falcon Insight-Dienst ist ein Koordinator für endpunktresidente Erkennungssysteme. Diese Module sind separat als Produkt mit der Bezeichnung erhältlich Falcon Prevent .
Der Insight-Dienst ist ein cloudbasiertes Modul, das Aktivitätsberichte von Endpoint-Agenten empfängt und diese auf verdächtiges Verhalten durchsucht. Dies ergibt das CrowdStrike-System zwei Erkennungspunkte . Der erste untersucht die Aktivität eines Endpunkts, während der andere nach verknüpften Aktivitäten über Endpunkte hinweg sucht. Dies ist nützlich, um Ransomware-Aktivitäten zu erkennen, die sich von einem Endpunkt auf einen anderen ausbreiten.
Das Cloud-System empfängt auch ein Threat-Intelligence-Feed und kommuniziert empfohlene Maßnahmen bis hinunter zu den Endpunktmodulen. Darüber hinaus umfasst der EDR-Service Abhilfesysteme, die einen sich entwickelnden Angriff sofort blockieren können. Beispielsweise kann der EDR Quarantäne-Software oder Prozesse töten, die bedrohlich erscheinen. Es kann auch ein Gerät isolieren aus dem Netzwerk, um die Ausbreitung einer Infektion zu verhindern.
Sie können eine bekommen15-tägige kostenlose Testversionvon Falcon Prevent.
CrowdStrike Falcon Insight starten Sie die 15-tägige KOSTENLOSE Testversion
zwei. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus ist ein unverzichtbares Tool für Unternehmen mit einem Datenschutzstandard, wie z DSGVO , PCI DSS , oder HIPAA . Es handelt sich um einen sensiblen Datenschutz.
Glücklicherweise stiehlt und veröffentlicht RobbinHood keine sensiblen Daten. Bei anderer Malware ist dies jedoch der Fall. Die Drohung, gestohlene Daten zu veröffentlichen, wird bei Ransomware zunehmend zu einer zusätzlichen Standarddrohung, um das Opfer zur Zahlung zu bewegen.
DataSecurity Plus verfügt über eine eDiscovery Modul, das das Netzwerk nach sensiblen Datenspeichern durchsucht. Sobald sie gefunden wurden, werden die Daten an jedem Standort kategorisiert. Dadurch können Sie die Sicherheit an diesen Orten erhöhen. Das Paket enthält außerdem a Dateiintegritätsmonitor Dadurch wird eine Warnung ausgelöst, wenn geschützte Dateien berührt werden. Dieses Tool kann den Schaden auch durch Wiederherstellung aus dem Backup rückgängig machen. Es kann auch Prozesse beenden und das Gerät vom Netzwerk isolieren.
ManageEngine DataSecurity Plus ist verfügbar für eine 30-tägige kostenlose Testversion .
