Forscher warnen: Die ARCrypter-Ransomware breitet sich weltweit aus
von Tina Siering
Was ist derzeit über die neue ARCrypter-Ransomware bekannt?
Die neue Ransomware ARCrypter ist erstmals im August 2022 in Erscheinung getreten, als Hacker eine Regierungsbehörde in Chile angegriffen und dabei sowohl Linux- als auch Windows-Systeme kompromittiert haben. Die Malware verschlüsselte die Daten der Organisation und fügte den Dateinamen die Endung „.crypt“ hinzu.
Damals sagte der chilenische Bedrohungsanalyst Germán Fernández, dass der ARCrypter-Ransomware-Stamm völlig neu zu sein scheine und mit keiner bekannten Ransomware-Familie in Zusammenhang stünde. Forscher des kanadischen Softwareherstellers Blackberry haben diese Aussage in einem kürzlich veröffentlichten Bericht bestätigt und die Erpressungssoftware mit einem zweiten Angriff in Verbindung gebracht – einer Cyberattacke auf das kolumbianische Institut für Lebensmittel- und Arzneimittelüberwachung (Invima) im Oktober 2022. Da die Zeichenfolge „ARC“ in allen analysierten Proben gefunden wurde, haben die Blackberry-Forscher die Ransomware-Variante kurzerhand „ARCrypter“ genannt.
Blackberry warnte davor, dass die Akteure hinter ARCrypter ihre Aktivitäten auf Länder außerhalb Lateinamerikas ausbreiten und Organisationen weltweit ins Visier nehmen werden – etwa in China und Kanada. Die Technologienachrichten-Plattform Bleeping Computer bestätigte diese Ausdehnung und sieht weitere ARCrypter-Opfer in Deutschland, Frankreich und den USA. Die Lösegeldforderungen variieren und belaufen sich in einigen Fällen auf lediglich 5.000 US-Dollar, sodass ARCrypter als mittelgroßer Ransomware-Akteur bezeichnet werden kann.
So funktioniert die neue ARCrypter-Ransomware
Nachdem die Sicherheitsforscher von Blackberry Proben der ersten ARCrypter-Attacke analysiert hatten, fanden sie Überraschendes heraus: Während die Opfer bei anderen Ransomware-Varianten gewöhnlich erst nach der Dateiverschlüsselung mit einer Lösegeldforderung konfrontiert werden, erhalten sie bei einer Kompromittierung mit ARCrypter die Lösegeldforderung bereits vor der Verschlüsselung. Dieses Vorgehen ist äußerst ungewöhnlich, denn es birgt die Gefahr in sich, dass der Verschlüsselungsprozess aufgedeckt wird. Die Nachricht mit der Lösegeldforderung und den Zugangsdaten für die Login-Seite der Angreifer ist in einer Textdatei mit dem Namen „readme_for_unlock.txt“ enthalten.
Nach der Zustellung der Lösegeldforderung fährt der Dropper damit fort, zwei Batch-Skripte und den Main Payload Encrypter zu platzieren.
Quelle: https://blogs.blackberry.com/
Bewaffnungsphase
Während ihrer Untersuchung haben die Sicherheitsforscher zwei AnonFiles-URLs entdeckt, die den Download von „win.exe“ und „win.zip“ ermöglichen. Die Datei „win.zip“ ist ein passwortgeschütztes Archiv, das die Datei „win.exe“ – eine Dropper-Datei – enthält. Dabei ist es wichtig zu wissen, dass AnonFiles einen anonymen Dateiupload bietet, bei dem die IP-Adresse des Angreifers verborgen wird. Diese Methode der Dateiverbreitung wird von vielen Bedrohungsakteuren bevorzugt. Es ist jedoch unklar, ob diese spezielle Methode von den Cyberkriminellen hinter ARCrypter oder einem anderen Akteur verwendet wurde.
Erste Stufe: Dropper
Bei einer eingehenderen Analyse der Dropper-Datei „win.exe“ stellten die Forscher fest, dass sie zwei interessante Ressourcen enthält: BIN und HTML. Während die HTML-Ressource den Inhalt der Lösegeldforderung speichert, enthält die BIN-Ressource die verschlüsselten Daten. Um die BIN-Ressource zu entschlüsseln, erwartet der Dropper ein Argument „-p“, gefolgt von einem Passwort. Sobald das Passwort angegeben wurde, fährt der Dropper fort, indem er ein zufälliges Verzeichnis erstellt. Der Zweck dieses neu erstellten Verzeichnisses besteht darin, den Payload der zweiten Stufe mit alphanumerischen Zeichen zu speichern. Bei diesem zweiten Payload handelt es sich mit großer Wahrscheinlichkeit um die ARCrypter-Ransomware.
Um den Dropper zu löschen, werden zwei bat-Dateien erstellt. Die erste bat-Datei beendet den Dropper-Prozess, überschreibt die ursprüngliche Datei und führt die zweite bat-Datei aus. Die zweite bat-Datei entfernt die erste bat-Datei aus dem System und bleibt bestehen.
Zweite Stufe: Payload
Nach der Ausführung fährt die Malware fort, Persistenz aufzubauen, indem sie den reg.exe-Prozess aktiviert und so den Registrierungsschlüssel mit dem Wert des Pfads zur Malware hinzufügt. Darüber hinaus ändert sie zwei Registrierungsschlüssel, die zum Anzeigen des Datums verwendet werden. Schließlich löscht sie unbemerkt alle Volumenschattenkopien.
Da ARCrypter auch auf alle Netzlaufwerke innerhalb des Systems abzielt, stellt die Malware mit einem Befehl sicher, dass diese während der Ausfallzeit verbunden bleiben. Zwar verschlüsselt die ARCrypter-Ransomware die meisten weitverbreiteten Dateitypen, jedoch vermeidet sie die Verschlüsselung von Dateien an bestimmten kritischen Orten des Zielsystems, um Systemfehler auszuschließen.
Schutz vor der ARCrypter-Ransomware
1. Endpoint Protection
Endpunkte wie Laptops, Smartphones und Workstations stellen für Cyberkriminelle besonders beliebte Ziele dar. Daher ist es ratsam, Endgeräte mit einer Endpoint Protection Platform (EPP) zu schützen. EPP-Lösungen blockieren bekannte dateibasierte Malware am Eintrittspunkt und bieten mithilfe von integrierten Sicherheitsmechanismen sowie signaturbasierten Malware-Abwehrmechanismen einen präventiven Schutz vor Bedrohungen.
2. Managed-Detection-and-Response-Lösung (MDR)
Haben Cyberkriminelle Malware aber erfolgreich in einem Netzwerk platziert und aktiviert, hilft eine Managed-Detection-and-Response-Lösung (MDR) wie der Active Cyber Defense (ACD) Service von Allgeier secion. Indem MDR-Lösungen das Unternehmensnetzwerk proaktiv und kontinuierlich nach potentiellen Angriffsaktivitäten absuchen, lässt sich ggf. maliziöse Command-and-Control-Server (C2)-Kommunikation frühzeitig feststellen. Wurde Ihr System kompromittiert, informiert Sie das ACD-Team von Allgeier secion bei Handlungsbedarf umgehend, um rechtzeitig Gegenmaßnahmen zu ergreifen und Schäden zu verhindern.
Der 24/7-Service überwacht alle Systeme Ihres Netzwerks – nicht nur Desktops, Server und Workstations, sondern auch Notebooks, mobile Endgeräte sowie Drucker, IoT, ICS und BYOD. Um den ACD-Service nutzen zu können, ist keine Installation von Agents auf Clients erforderlich. Stattdessen findet eine Prüfung auf Netzwerkebene statt, ob Ihre Systeme beispielsweise zu C2-Servern kommunizieren.
3. Incident Response (IR) Readiness
Eine umfassende Incident-Response-Readiness-Strategie wappnet Sie optimal für den Ernstfall. Sollte der Worst Case eintreten, verfügen Sie mit IR-Readiness über die nötigen Ressourcen und Kompetenzen, um einen Sicherheitsvorfall souverän zu managen. Eine auf Ihr Unternehmen abgestimmte Abwehrstrategie versetzt Sie in die Lage, Anzeichen für einen Cyberangriff frühzeitig zu identifizieren und schnell darauf zu reagieren. Die Cyber Security Consultants von Allgeier secion überprüfen Ihre bestehende IR-Readiness-Strategie und helfen Ihnen dabei, die erforderlichen Werkzeuge bereitzustellen, mit denen Sie einen Sicherheitsvorfall problemlos meistern können.
Fazit
Aktuelle Analysen belegen: Die neue ARCrypter-Ransomware stellt eine zusätzliche Sicherheitsbedrohung weltweit dar. Auch deutsche Organisationen müssen befürchten, zur Zielscheibe der Angreifer zu werden. Wer sich vor Datenverschlüsselungen und Lösegeldforderungen schützen möchte, sollte sich jetzt Gedanken über eine umfassende Cyber-Security-Strategie machen.
Eine wichtige Rolle spielen dabei effektive Cyber Threat Hunting Tools, die eine proaktive Jagd auf Cyberkriminelle ermöglichen und kompromittierte Systeme ausfinding zu machen. Eine Managed-Detection-and-Response-Lösung (MDR) wie der Active Cyber Defense (ACD) Service von Allgeier secion hilft Angriffsaktivitäten zu detektieren, die etablierte Protection-Tools nicht erkennen würden. Erfahrene IT Security-Analysten überwachen Ihre IT-Infrastruktur 24/7 Verdachtsfälle werden umgehend enttarnt und bei Handlungsbedarf an Ihr IT-Team gemeldet. Wenn Sie dann noch in der Lage sind, geeignete Incident-Response-Maßnahmen rechtzeitig einzuleiten, haben Sie den Wettlauf gegen die Angreifer schon so gut wie gewonnen.