Nach Angaben des Threat Hunter Team von Symantec ist der genaue Erstzugriffsvektor in dem untersuchten Angriff unbekannt. Die Angreifer nutzten jedoch AnyDesk für den Fernzugriff und setzten vor der Ausführung der Ransomware ein auf NirSoft basierendes Toolkit zum Diebstahl von Zugangsdaten ein. Dieses Werkzeug ist laut Bericht darauf ausgelegt, sensible Daten aus gängigen Webbrowsern, dem Windows-Anmeldeinformationsmanager, zwischengespeicherten Domänenzugangsdaten, VNC-Sitzungen, E-Mail-Clients, WLAN-Profilen und dem laufenden Netzwerkverkehr zu extrahieren.

Zur Umgehung von Schutzmechanismen kamen außerdem ein Benutzerraum-Werkzeug mit dem Namen „symantec.exe“, das als Symantec-Produkt getarnt war, sowie der PoisonX-Kerneltreiber „g11.sys“ zum Einsatz. Symantec beschreibt das als Angriff nach dem Muster „Bring your own vulnerable driver“: Dabei wird ein signierter Treiber verwendet, um Endpunktschutz zu deaktivieren.

Das Besondere an PoisonX ist für Symantec, dass es sich offenbar nicht nur um einen anfälligen, sondern um einen bösartigen Treiber handelt, den seine Entwickler dennoch von Microsoft signieren lassen konnten. In einem The Hacker News übermittelten Bericht erklärte das Symantec Threat Hunter Team, der Treiber sei „etwas ungewöhnlicher“, weil genau diese Signierung ihn nun für Ransomware-Angreifer nutzbar mache.

Broadcom hatte bereits im vergangenen Monat auf die Bedeutung solcher Treiber hingewiesen. Sobald Angreifer Administratorrechte erlangt haben, könnten sie einen fehlerhaften, aber gültig signierten Treiber auf dem Zielsystem ablegen. Weil der Treiber signiert sei, werde er von Windows automatisch geladen. Typischerweise würden Angreifer dann Prozesse von Antiviren- oder EDR-Produkten beenden. Andere Varianten entzögen dem Sicherheitsagenten die für den Betrieb nötigen Rechte oder manipulierten interne Kernel-Datenstrukturen so, dass das Schutzprodukt keine Benachrichtigungen über Vorgänge auf dem System mehr erhalte.

PoisonX ist laut dem Bericht zudem einer von acht Treibern, die die Betreiber des Ransomware-as-a-Service-Angebots The Gentlemen in ihrem eigenen Werkzeug GentleKiller einsetzen. Dieses Werkzeug werde an Partner weitergegeben, um Systemschutz vor dem Start des Verschlüsselers zu beeinträchtigen.

Der von Symantec analysierte Angriff war außerdem von seitlicher Bewegung mit PsExec geprägt. Danach richteten die Täter AnyDesk auf jedem erreichbaren Host ein und registrierten es als automatisch startenden Windows-Dienst, damit der Zugriff einen Neustart übersteht. Auf manchen Rechnern übernahm ein bereits auf dem Systemlaufwerk abgelegtes PowerShell-Skript die komplette AnyDesk-Einrichtung, was laut Symantec auf einen wiederverwendbaren Installer zur Beschleunigung des Ablaufs hindeutet.

Nach Abschluss der Einrichtung beendeten die Angreifer auf jedem Host zunächst den laufenden AnyDesk-Prozess, warteten kurz und starteten das System dann neu. Laut Symantec war diese Abfolge bis zum Ende des 2. Juni auf mindestens zehn Hosts innerhalb der betroffenen Organisation wiederholt worden.

Am 3. Juni wurde die GodDamn-Ransomware nach Angaben des Unternehmens auf einem separaten Netzwerksegment entdeckt, das einer anderen Organisationseinheit zugeordnet war. Dort wurden Dateien nicht mit der in anderen Hyadina-Angriffen verwendeten Endung „.God8Damn“ umbenannt, sondern mit dem Namen des Opfers als Dateierweiterung versehen.

Einem Bericht von CYFIRMA zufolge fordert die am Ende des Eindringens abgelegte Lösegeldnotiz die Opfer auf, entweder per E-Mail oder über die verschlüsselte Nachrichtenanwendung qTox Kontakt aufzunehmen. Symantec wertet den Einsatz des vergleichsweise neu entdeckten bösartigen Treibers PoisonX als Ausbau der Fähigkeiten dieser Gruppe zur Abwehrumgehung und als Hinweis darauf, dass Hyadina ihre Ransomware und deren Funktionen weiterhin aktiv weiterentwickelt.