Netzadministrator

Was ist WastedLocker Ransomware und wie schützt man sich davor?

Was ist WastedLocker-Ransomware und wie kann man sich davor schützen?



Wie die meisten Ransomware-ProgrammeWastedLocker greift laufende Computer an Windows . Allerdings ist WastedLocker ein Großwildjäger

Sie greift große Konzerne an und verlangt hohe Lösegelder. Während viele Ransomware-Angriffe ein paar hundert Dollar verlangen, verlangt WastedLocker Millionen von Dollar .



Die Hackergruppe hinter WastedLocker ist sehr gut organisiert. Seit den ersten Jahren dieses Jahrhunderts ist das Team aktiv und hat mehr als 100 Millionen US-Dollar verdient.

Wer steckt hinter der WastedLocker-Ransomware?

WastedLocker ist ein Produkt von Evil Corp , was auch bekannt ist als Indrik Spinne . Dabei handelt es sich um eine russische Hacker-Gruppe, mit der sie ihren ersten Erfolg hatte Zeus , ein Banking-Trojaner. Das bekannteste Produkt dieser Gruppe war Dridex , ein Banking-Trojaner, der viel Geld verdiente. Dridex war von 2011 bis 2020 aktiv und wurde als Weiterentwicklung von Zeus entwickelt.



Die Evil Corp-Gruppe wird angeführt von Maxim Yakubets Und Igor Turaschew . Im Dezember 2019 erließ das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums einen Haftbefehl gegen das Paar. Darüber hinaus wurde eine Belohnung von 5 Millionen US-Dollar für Hinweise ausgesetzt, die zu ihrer Festnahme führten. Aber leider wurden sie immer noch nicht verhaftet.

Der Hauptgrund für das Interesse der US-Behörden an Evil Corp ist Dridex, nicht das WastedLocker-Ransomware . Die ernsthafte Aufmerksamkeit der US-Sicherheitsbehörden zwang Evil Corp jedoch dazu, alle seine Aktivitäten zu überdenken, und die Gruppe blieb bis Anfang 2020 vorübergehend still.

Die Quelle der WastedLocker-Ransomware

Evil Corp entwickelte erstmals 2017 Ransomware mit dem Bitpaymer-Verschlüsselung . Dies war ein „ Großwildjäger Das bedeutet, dass es sich an Großkonzerne richtete und hohe Lösegelder forderte. Bitpaymer war der Vorläufer der WastedLocker-Ransomware.

Bitpaymer wurde 2017 auf den Markt gebracht Krankenhäuser im Vereinigten Königreich. Die Angriffe konzentrierten sich dann auf das Große US-Unternehmen . Der Verbreitungsmechanismus der Ransomware basierte auf Dridex-Modulen.

Im Jahr 2019 entwickelte Evil Corp eine Variante von Bitpaymer mit dem Namen DoppelPaymer , A Ransomware-as-a-Service System. RaaS ermöglicht es anderen Hackern, gegen eine Gebühr ein Ransomware-System zu nutzen, ohne ihnen Zugriff auf den Code zu gewähren.

Im Mai 2020 startete die Gruppe WastedLocker als Ersatz für Bitpaymer. Die neue Ransomware weist einige verfahrenstechnische Ähnlichkeiten mit Bitpaymer auf, verfügt jedoch über einen völlig anderen Code.

WastedLocker-Angriffe sind sehr maßgeschneidert . Die Gruppe führt nicht nur umfangreiche Recherchen durch, um Zugang zu einem Netzwerk zu erhalten, sondern erstellt auch unterschiedliche Module für jeden Angriff und einen gezielten Lösegeldschein. Die Gruppe ist auch in der Lage, einen Angriff sofort anzupassen. In einigen Fällen konnten Netzwerkmanager den WastedLocker-Dropper erkennen und entfernen, was dazu führte, dass die Gruppe manuell einen versteckteren Ersatz ablegte.

Der Beginn eines WastedLocker-Angriffs

Die meisten Ziele der WastedLocker-Ransomware waren große US-Unternehmen. Das Opfer sieht ein Popup beim Besuch bestimmter Websites, die ihnen empfehlen, ihren Browser zu aktualisieren. Wenn das Popup gedrückt wird, lädt es eine ZIP-Datei herunter, die ein JavaScript-Modul namens „ SocGolish .

Die Websites, auf denen Popups erscheinen, sind nicht Eigentum von Evil Corp. Sie sind vielmehr Eigentum legitimer Organisationen und werden von diesen betrieben, und der Evil Corp-Gruppe ist es gelungen, sie zu infizieren. Nachrichten-Websites sind regelmäßig Ziel dieser Infektion.

Das Modul installiert und führt PowerShell-Skripte aus Kobaltschlag Hintertür. Dies verschafft den Hackern Zutritt und nutzt sowohl manuelle als auch automatisierte Methoden, um den Angriff durchzuführen.

Was passiert bei einem WastedLocker-Ransomware-Angriff?

Der Ausgangspunkt des Hackers ist ein Endpunkt auf dem System, auf dem die Cobalt Strike-Hintertür installiert wurde. Mithilfe von Erfahrung und einem Toolkit von System-Scan-Diensten erstellt der Hacker dann ein Profil von Benutzerkonten auf dem Endpunkt und Verbindungen zu anderen Endpunkten im gesamten Netzwerk. Der Hacker wird ebenfalls Nachforschungen anstellen Sicherung Prozesse und löschen Dateien, um sie auf den Backup-Server hochzuladen und eine Ransomware-Infektion auszulösen.

Zu diesem Zeitpunkt ähnelt die Aktivität eher einer fortgeschrittene anhaltende Bedrohung als ein Ransomware-Angriff. Zu den Tools gehören Systeme zum Erfassen von Anmeldeinformationen und zum Zugriff auf das Konto eines Benutzers auf dem Gerät, auf das zugegriffen wird Fernzugriff System, das es dem Hacker ermöglicht, die Identität des Benutzers zu erlangen und mit anderen in der Organisation zu kommunizieren.

Die Aufklärungsphase des Angriffs ermöglicht es dem Hacker, sich durch das Netzwerk zu bewegen, um wichtige Dateispeicher und Datenbankserver zu lokalisieren, die zu Infektionszielen werden. Sobald der Teamleiter damit zufrieden ist, genügt es hochwertige Ziele erworben wurden, ist die WastedLocker-Ransomware aktiviert.

WastedLocker-Verschlüsselung

Die Ransomware führt mehrere Aufgaben aus, bevor sie die Verschlüsselung startet. Es löscht alles Schattenkopien von Arbeitsdokumenten, die durch Autosave-Funktionen generiert werden. Außerdem wird Windows Defender deaktiviert, der Kontozugriff auf Administrator erhöht und der Verschlüsselungsprozess als Dienst installiert.

Das System generiert für jede Datei einen anderen Verschlüsselungsschlüssel. Das ist ein AES Verschlüsselung mit einem 256-Bit-Schlüssel. Diese Schlüssel werden dann in einer Datei aufgelistet, die mit 4096-Bit verschlüsselt ist RSA Chiffre. Dies ist das Öffentlicher Schlüssel , wodurch die Dateien verschlüsselt wurden. RSA verwendet zum Entschlüsseln einen anderen Schlüssel. Dies kann nicht aus dem Verschlüsselungsschlüssel abgeleitet werden. Daher nützt es dem Opfer nichts, den öffentlichen Schlüssel zu kennen. Er kann jedoch als Referenzcode für den Entschlüsselungsprozess verwendet werden. Die RSA-Schlüsselpaare scheinen extern generiert zu werden und der öffentliche Schlüssel wird an das Zielsystem gesendet, während der private Schlüssel auf dem Evil Corp-Server zur Auslieferung nach der Zahlung aufbewahrt wird.

Der WastedLocker verschlüsselt keine Systemdateien oder ausführbaren Dateien, sondern den Computer noch betriebsbereit . Es verschlüsselt jedoch Arbeitsdateien wie Dokumente, Tabellenkalkulationen, Bilder, Video- und Audiodateien. Es verschlüsselt auch Datenbankspeicherdateien. Anstatt einen Computer einfach alphabetisch abzuarbeiten oder mit dem ersten kontaktierten Computer zu beginnen, identifiziert WastedLocker den kritischsten Datenspeicher und beginnt mit dem, was ihm scheinbar gehört Höchster Wert Verzeichnis.

Jede Datei wird mit ihrer verschlüsselten Version überschrieben. Dem Dateinamen wird dann eine zusätzliche Erweiterung hinzugefügt. Dies ist der Name des Zielunternehmens und verschwendet Beispielsweise erhält eine Datei mit dem Namen „spesen.docx“ auf einem Computer einer Firma namens NewWorks, Inc. am Ende den Namen „spesen.docx.newworkswasted“. Der Verschlüsselungsprozess generiert auch eine Lösegeldforderung für jede verschlüsselte Datei. Der Text der Notiz ist in jedem Fall derselbe, Sie müssen also nur eine davon öffnen. Dies ist eine Textdatei und hat denselben Namen wie die verschlüsselte Datei, jedoch mit _info. Im Fall des Beispiels wäre die zugehörige Lösegeldforderung also „costs.docx.newworkswasted_info“.

Der Lösegeldschein hat das folgende Format:

IHR NETZWERK IST JETZT VERSCHLÜSSELT

VERWENDEN|UM DEN PREIS FÜR IHRE DATEN ZU ERHALTEN

Geben Sie diese E-Mail nicht an Dritte weiter

Benennen Sie die Datei nicht um oder verschieben Sie sie nicht

DIE DATEI WIRD MIT DEM FOLGENDEN SCHLÜSSEL VERSCHLÜSSELT:

[begin_key][end_key]

BEHALTE ES

Die zur Kontaktaufnahme verwendeten E-Mail-Adressen werden nur für einen Angriff verwendet. Sie befinden sich immer auf den folgenden Domains:

  • PROTONMAIL.CH
  • AIRMAIL.CC
  • ECLIPSO.CH
  • TUTANOTA.COM
  • PROTONMAIL.COM

Sobald der Angriff alle erreichbaren Zieldateien auf dem System des Opfers verschlüsselt hat, endet der Ransomware-Prozess. Mit anderen Angriffsstrategien wie dem Löschen von Dateien oder dem Infizieren des Bootvorgangs geht es nicht weiter. Alle nach dem Angriff neu erstellten Dateien werden nicht verschlüsselt.

Wiederherstellung nach einem WastedLocker-Angriff

Es gibt auf keinen Fall um Dateien zu entschlüsseln, die während eines WastedLocker-Ransomware-Angriffs verschlüsselt wurden, ohne das Lösegeld zu zahlen. Die AES-Verschlüsselung, die die Dateien konvertiert, ist unknackbar, ebenso wie die RSA-Verschlüsselung, die die Liste der AES-Schlüssel schützt. Es gibt keine Cybersicherheitsberatung, die einen Entschlüsselungsdienst anbietet.

Der beste Weg, sich von einem Angriff zu erholen, ohne dafür zu bezahlen, besteht darin, sicherzustellen, dass Sie dies getan haben Backups aller kritischen Dateien und dass Ihr Backup-Prozess und Ihre Speicher alle sehr gut geschützt sind. Da die Evil Corp-Gruppe manuelle Erkundungen nutzt und sich so lange im System bewegt, bis sie alle wichtigen Datenspeicher erhalten, werden diese Backup-Speicherorte normalerweise auch verschlüsselt.

Die Lösegeldforderungen für WastedLocker liegen zwischen 500.000 und 10 Millionen US-Dollar. Der bisher bekannteste Angriff ereignete sich im Oktober 2020 gegen das US-Technologieunternehmen Garner. Von dem Unternehmen wurden 10 Millionen US-Dollar verlangt. Niemand weiß, ob das Unternehmen diesen Gesamtbetrag gezahlt hat. Sie zahlten jedoch, weil sie den Entschlüsselungsschlüssel erhielten. Es scheint also, dass die Evil Corp-Gruppe dazu bereit ist verhandeln .

Abwehr von WastedLocker-Ransomware

Die gute Nachricht ist, dass WastedLocker es ist nicht mehr aktiv . Sein Nachfolger heißt jedoch Hades, ist im Umlauf. Dies ist WastedLocker sehr ähnlich, verfügt aber über einige zusätzliche Verschleierungsfunktionen, die man als solche betrachten kann WastedLocker II .

Die beste Verteidigung liegt in intelligenter, anfälliger und sensibler Cybersicherheit Daten , für dessen Verwendung und Schutz zusätzliche Vorschriften gelten. Hier sind drei Cybersicherheitspakete, die einen kompetenten Schutz gegen WastedLocker-Ransomware bieten.

1. CrowdStrike Falcon Insight (KOSTENLOSE TESTVERSION)

CrowdStrike Falcon Insight

CrowdStrike Falcon Insight ist ein Endpoint Detection and Response (EDR)-Paket. Es enthält ein Koordinationsmodul zur Schaffung eines unternehmensweiten Schutzes. Der Endpoint Agent wird unter Windows, macOS und Linux installiert und der Overseer ist ein cloudbasierter Dienst.

Die Kombination aus Geräteschutz und Systemüberwachung ist eine hervorragende Abwehr gegen Ransomware-Systeme wie WastedLocker und Hades. Die Vor-Ort-Module nutzen Anomalieerkennung Dadurch ist es in der Lage, brandneue Malware oder scheinbar echte Aktivitäten zu erkennen, die von legitimen Benutzerkonten durchgeführt werden. Der EDR isoliert Geräte, wenn er verdächtige Aktivitäten erkennt. Es kann auch Malware-Dateien löschen und Prozesse beenden. Das Endpunktschutzsystem ist vollständig autonom und kann separat erworben werden. Es wird vermarktet als CrowdStrike Falcon Prevent .

Das cloudbasierte Modul ist a Bedrohungsjäger Dies basiert auf dem Hochladen von Aktivitätsprotokollen von den Endpunktagenten. Das wird Threat-Intelligence-Feeds von CrowdStrike, das seine Datensuchstrategien aktualisiert. Der Koordinator informiert alle Endpunkte über erkannte Bedrohungen, unabhängig davon, ob sie in den Daten identifiziert oder von einem Endpunkt gemeldet wurden.

Sie können eine bekommen15-tägige kostenlose Testversionvon Falcon Prevent.

Falcon Prevent Starten Sie die 15-tägige KOSTENLOSE Testversion

zwei. ManageEngine DataSecurity Plus

ManageEngine DataSecurity Plus

ManageEngine DataSecurity Plus ist ein Schutz für sensible Daten, der für Unternehmen entwickelt wurde, die HIPAA, PCI DSS und andere einhalten müssen Datenschutzstandards .

Das System umfasst ein eDiscovery-Modul, das sensible Datenspeicher identifiziert und die dort gespeicherten Datentypen kategorisiert. Dadurch können Sie die Sicherheitsmaßnahmen für diese Standorte erhöhen. Darüber hinaus ist das Abwehrsystem von DataSecurity Plus als implementiert Dateiintegritätsmonitor (FIM). Dadurch werden Verschlüsselungsaktionen sofort erkannt und blockiert.

Das System untersucht die Prozesse, die versuchen, auf sensible Datenspeicher zuzugreifen, und misst deren Absicht. Anschließend blockiert das Paket alle böswilligen Aktivitäten, indem es Prozesse beendet und kompromittierte Benutzerkonten sperrt.

DataSecurity Plus ist ein lokales Softwarepaket, das auf installiert werden kann Windows Server . Es ist verfügbar für eine 30-tägige kostenlose Testversion .

3. BitDefender GravityZone

Bitdefender GravityZone

BitDefender GravityZone ist ein Bündel von Cyber-Abwehrsystemen, die in Kombination sehr gut zum Schutz vor WastedLocker und Hades funktionieren. Die wichtigste Verteidigung ist ihre Bewältigung Sicherung Service.

GravityZone implementiert Malware-Scanning an mehreren Stellen des Systems. Es scannt Endpunkte und alle darauf heruntergeladenen Dateien. Das System überwacht außerdem den Zugriff auf den Backup-Speicher und scannt jede Datei, bevor es sie freigibt. Dazu gehören sogar manuell angeordnete Transfers.

Das GravityZone-Paket verfügt über eine Schwachstellenscanner und ein Patch-Manager um Ihre Angriffsfläche zu verringern. Als letzten Ausweg gibt es dort auch einen Dateiintegritätsmonitor. GravityZone implementiert automatisierte Antworten. Es kann ein Gerät isolieren, sobald es verdächtige Aktivitäten erkennt. Dadurch wird der potenzielle Schaden begrenzt, den WastedLocker und Hades verursachen könnten.

BitDefender GravityZone ist ein Softwarepaket, das als virtuelle Appliance ausgeführt wird. Es ist verfügbar für eine einmonatige kostenlose Testversion .

^