
Neuer Ransomware-Trend: Warum Kriminelle zunehmend auf intermittierende Verschlüsselung setzen
von Tina Siering

Cyberkriminelle sind wahre Meister darin, ihre Angriffsmechanismen laufend an effektive IT-Sicherheitsmaßnahmen anzupassen. Mit neuen Tools und iterativen Veränderungen bestehender Malware werden Sicherheitslücken gnadenlos ausgenutzt. Unter den zahlreichen Bedrohungen sticht Ransomware als eine der größten Bedrohungen heraus. Immer mehr Unternehmen müssen sich mit Erpressungs-Trojanern auseinandersetzen. Eine völlig neue Bedrohung mit dem Namen LockFile setzt nun auf eine intermittierende Verschlüsselung. LockFile verschlüsselt nicht nur deutlich schneller als bisherige Ransomware, sondern umgeht auch zuverlässig arbeitende Sicherheitslösungen. Warum Kriminelle zunehmend auf die intermittierende Verschlüsselung setzen und wie Unternehmen auf die neue Gefahr reagieren sollten, zeigt dieser Beitrag.
Was sind die Vorteile intermittierender Verschlüsselung?
Bisher eingesetzte Ransomware nutzt einen Schlüssel, um den gesamten Binärcode einer Datei zu verschlüsseln. Das macht die Datei – beispielsweise ein Textdokument – unbrauchbar. LockFile geht einen anderen Weg: Die Taktik dieser Ransomware besteht darin, innerhalb einer Datei nur wenige Bytes zu verschlüsseln. Das verschlüsselte Dokument ist daher dem Original weiterhin sehr ähnlich, wird von Schutztechnologien übersehen – und kann sogar in einigen Fällen von den Usern noch teilweise verwendet werden. Bei Textdokumenten beispielsweise bleibt ein Teil des Inhaltes noch lesbar, bei anderen Dateiformaten, die auf eine korrekte Struktur angewiesen sind (z. B. PDFs), wird jedoch die gesamte Datei durch den Mechanismus beschädigt. LockFile hat darüber hinaus noch zwei Eigenheiten, die es von konventioneller Ransomware unterscheidet: Die Malware greift Dateierweiterungen wie .exe oder .dll Dateien nicht an. Der Zweck: Das Betriebssystem der Opfer soll funktionsfähig bleiben.
Wo genau liegen die Vorteile der intermittierenden Verschlüsselung für Cyberkriminelle?
Im Vergleich zu konventioneller Ransomware bietet LockFile Cyberkriminellen gleich zwei Vorteile durch die intermittierende Verschlüsselung: Verschleierung und Geschwindigkeit.
Verschleierung:
Aktuelle Systeme zur Erkennung von Ransomware setzen bevorzugt auf statistische Analysen. Diese Analysen bewerten die Ähnlichkeit zwischen einer nicht veränderten und einer mutmaßlich durch Ransomware veränderten Datei oder die Intensität von Input/Output-Operationen. LockFile verschlüsselt nur kleine 16-Byte-Pakete innerhalb einer Datei, was dazu führt, dass das verschlüsselte Dokument dem Original sehr ähnlich ist. Der Tarnmechanismus wird dadurch verstärkt, dass nicht die ersten Blöcke einer Datei, sondern die erst die darauf folgenden verschlüsselt werden. So wird die statistische Analyse verzerrt und eine Erkennung der Bedrohung zusätzlich extrem erschwert.
Geschwindigkeit:
Cyberkriminelle arbeiten bei ihren Angriffen gegen die Zeit. Denn je länger ein Angriff dauert, desto höher ist die Wahrscheinlichkeit, dass die Angreifer ertappt und gestoppt werden. Die intermittierende Verschlüsselung ist extrem schnell und verschafft den Hackern so einen deutlichen Zeitvorteil.
Funktionsweise der intermittierenden Verschlüsselung
LockFile nutzt bestehende Lücken im ProxyShell von Microsoft Exchange-Servern aus, um in die Netzwerke der Opfer einzudringen. Ist die Ransomware auf einem System angelangt, verschlüsselt sie nur einen kleinen Teil der Dateien – und zwar ganz gezielt nicht die ersten Byte-Blöcke, sondern die den initialen Blöcken folgenden 16 Bytes. Das bringt Sicherheitstechnologien aus dem Konzept, die auf Statistiken zur Erkennung von Ransomware setzen. Die verschlüsselte Datei bleibt statistisch gesehen dem Original sehr ähnlich – was dazu führt, dass viele Schutzmechanismen den Angriff überhaupt nicht erkennen. Auch verhaltensbasierte Anti-Ransomware-Tools stellen keinen zuverlässigen Schutz vor LockFile dar. Denn die Ransomware kann durch Memory-Mapped Input/Output extrem schnell auf Dokumente auch im Zwischenspeicher zugreifen, diese verschlüsseln und dann dem Betriebssystem den Befehl geben, die Datei in einem separaten, vom Angriff getrennten Prozess auf die Festplatte zu schreiben. Und damit noch nicht genug: LockFile benötigt anders als herkömmliche Ransomware auch keine Verbindung zu einem Command and Control Center. Stattdessen nutzt es das standardmäßig installierte Befehlszeilentool Windows Management Interface (WMI) zur Kommunikation. WMI wird verwendet, um Prozesse im Zusammenhang mit Datenbankverwaltung und Virtualisierung zu beenden. Dies stellt u.a sicher, dass durch die Verwendung von WMI als Vermittler nicht sofort ersichtlich ist, dass die legitimen Prozesse durch die Ransomware abgeschaltet wurden. Es gehen folglich keine verdächtigen Verbindungen vom Opfersystem aus, was es besonders schwierig macht, LockFile rechtzeitig zu entdecken.
Diese RaaS-Anbieter setzen auf intermittierende Verschlüsselung
Ransomware-as-a-Service (RaaS) ist ein Dienstleistungs-Angebot im Bereich der Cyberkriminalität, bei dem sich Hacker fertig vorkonfigurierte Tools im Darknet mieten oder kaufen. Expertenwissen ist somit für Cyberangriffe nicht mehr erforderlich, selbst Einsteiger können mit wenig Einarbeitungszeit komplexe Angriffe starten. Aktuell setzen folgende RaaS-Anbieter auf Ransomware mit intermittierender Verschlüsselung:
Black Basta
Black Basta tauchte erstmalig im April 2022 auf. Vermutungen deuten darauf hin, dass Black Basta aus der Conti-Hackergruppierung hervorgegangen ist. Die RaaS-Lösung basiert auf der Programmiersprache C++, ist auf Windows- und Linux-Systemen einsetzbar und ermöglicht Angreifern eine „doppelte“ Erpressung ihrer Opfer: Neben der Verschlüsselung der Daten drohen die Betreiber von Black Basta den Opfern auch damit, die Daten auf der Webseite Basta News zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird.
Qyick
Qyick wird als Ransomware zum Kauf angeboten. Je nach gewünschten Modifikationen durch den Käufer kostet die Ransomware zwischen 0,2 und 1,5 Bitcoins. Dafür erhält der Cyberkriminelle nicht nur das Tool, sondern eine Garantie obendrauf: Sollte die Malware binnen sechs Monaten nach Kauf von Sicherheitstools erkannt werden, gibt es vom Betreiber eine neue Version mit einem Preisnachlass von bis zu 80 %.
PLAY
Ganz neu auf dem Markt ist die Ransomware PLAY. Die Malware ist erst seit Ende Juni 2022 bekannt und wurde seitdem für Angriffe auf hochwertige Ziele eingesetzt. PLAY kann nicht durch den Anwender konfiguriert werden, sondern führt immer eine intermittierende Verschlüsselung entsprechend der Größe der Zieldatei durch. PLAY fällt besonders durch das reduzierte Erpresserschreiben auf. Während andere RaaS-Anbieter hier auf große Worte setzen, begnügt sich PLAY mit einem einzigen Wort – nämlich PLAY – und einer E-Mail-Adresse, über die Kontakt mit dem Erpresser aufgenommen werden soll.
Agenda
Die in Go geschriebene Ransomware Agenda wird derzeit hauptsächlich für Cyberangriffe auf Gesundheitseinrichtungen und den Bildungssektor in Asien und Afrika eingesetzt. Agenda bietet zahlreiche Möglichkeiten der Individualisierung, darunter die Option der Änderung von Dateinamen oder die zu beendenden Prozesse während eines Angriffs.
Schützen Sie sich vor der Bedrohung durch intermittierende Verschlüsselung
Durch die zahlreichen Vorteile für Cyberkriminelle in Kombination mit der einfachen Verfügbarkeit ist davon auszugehen, dass die intermittierende Verschlüsselung in naher Zukunft verstärkt zum Einsatz kommen wird. Es ist also dringend geboten, dass Unternehmen ihre Sicherheitsmaßnahmen entsprechend aufrüsten und der neuen Bedrohung anpassen.
Damit LockFile und weitere Ransomware-Varianten mit intermittierender Verschlüsselung aus den Netzwerken von Unternehmen und Organisationen ferngehalten werden oder im Falle eines Sicherheitsvorfalles zeitnah Abwehrmaßnahmen in die Wege geleitet werden können, empfehlen unsere Cyber Defense Experten als Reaktion auf die neue Bedrohung eine Strategie aus Endpoint Protection und Incident Response (IR)-Readiness Ansätzen.
- Endpoint Protection
Mit einer Endpoint Protection Plattform wird präventive Sicherheit bereits an den Eintrittspunkten gewährleistet. Endpoint Protection blockiert bekannte Malware durch integrierte Schutzmechanismen und signaturbasierten Malware-Abwehrmechanismen.
- IR-Readiness
Mit einer individuell maßgeschneiderten Incident Response Readiness verfügen Unternehmen über Richtlinien und Prozesse zur angemessenen Behandlung von Sicherheitsvorfällen. Die Handlungsempfehlungen stellen eine optimale Vorbereitung auf den Ernstfall dar.
Fazit
LockFile ist nicht irgendeine neue Ransomware, sondern eine akute Bedrohung, die Sicherheitsexperten beunruhigt. Die Ransomware setzt auf intermittierende Verschlüsselungen, kommt ohne Verbindung zu Command and Control Servern aus und verschlüsselt Daten extrem schnell. Unternehmen müssen umgehend auf die neue Bedrohungslage reagieren, denn es ist zu erwarten, dass die intermittierende Verschlüsselung zu einem der Cybercrime-Trends der nahen Zukunft werden wird. Mit einer Absicherung aller Endpoints im Netzwerk und einer sorgfältig ausgearbeiteten Incident Response Readiness begegnen Unternehmen den neuen Herausforderungen. Gerne beraten wir Sie zu den notwendigen Maßnahmen in einem persönlichen Gespräch. Nehmen Sie doch gleich einmal Kontakt mit uns auf!