ALPHV

Überblick

Bei ALPHV, auch unter dem Namen BlackCat bekannt, handelt es sich um eine Ransomware-Gruppe, die ihr Partnerprogramm in Untergrundforen des Dark Web bewarb und Mitstreitern eine von Grund auf neu entwickelte Schadsoftware anbot. Diese ist in der Programmiersprache Rust geschrieben. Hinweise deuten darauf hin, dass die Akteure keine Neulinge in der Cyberkriminalität sind und Verbindungen zu früheren Partnerprogrammen wie DarkSide, BlackMatter und REvil bestehen. Als Sicherheitsmaßnahme verlangt die Schadsoftware zur Ausführung einen sogenannten „access token“, den die Betreiber des Ransomware-as-a-Service-Modells an ihre Partner ausgeben. Dieser Token wird in die Erpressernachricht des Opfers eingefügt, damit dieses Kontakt zum verantwortlichen Akteur aufnehmen kann. Die Partner setzen auf doppelte und dreifache Erpressung: Neben der Veröffentlichung des Firmennamens auf Leak-Seiten und der Drohung mit Datenveröffentlichung wird zusätzlich mit DDoS-Angriffen gedroht.

Taktiken & Vorgehen

Den Erstzugang verschaffen sich die Akteure über gültige Konten, die Ausnutzung von ProxyShell-Schwachstellen, unsichere RDP- und VPN-Zugänge sowie über in Untergrundforen erworbene Netzwerkzugänge. Nach erfolgreicher Ausnutzung wird teils eine Web-Shell auf dem Exchange-Server abgelegt. Zur Verbreitung dienen Gruppenrichtlinien, geplante Tasks und das legitime Werkzeug PsExec, das einen temporären Systemdienst erzeugt. Über PowerShell und die Windows-Eingabeaufforderung werden Schattenkopien gelöscht, die Wiederherstellung deaktiviert und Ereignisprotokolle geleert; ergänzend kommen wmic, Impacket-wmiexec sowie wevtutil, vssadmin und bcdedit zum Einsatz. Anmeldedaten werden durch LSASS-Speicherauslesung mit procdump und comsvcs.dll sowie mit NirSoft-Werkzeugen erbeutet. Die Datenexfiltration erfolgt über Rclone zum Cloud-Dienst MEGA, über das Werkzeug ExMatter sowie über Cobalt-Strike-Kanäle. Zur Tarnung werden Sicherheitsdienste beendet, Dateien verschleiert und ausführbare Dateien umbenannt.

Schutzmaßnahmen

Fernzugänge über RDP und VPN sollten abgesichert und mit Mehr-Faktor-Authentisierung versehen werden, da diese als Einfallstor dienen. Konten sollten überwacht werden, um den Missbrauch gültiger Zugangsdaten zur Persistenz und Rechteausweitung zu erschweren. Exchange-Server sollten gegen die ausgenutzten ProxyShell-Schwachstellen gehärtet und auf abgelegte Web-Shells geprüft werden. Der Zugriff auf den LSASS-Speicher sollte überwacht werden, um das Auslesen von Anmeldedaten mit procdump oder comsvcs.dll zu erkennen. Der Einsatz legitimer Werkzeuge wie PsExec, Rclone und wmic sollte protokolliert und auf Anomalien überwacht werden. Ausgehender Datenverkehr zu Cloud-Speicherdiensten sollte eingeschränkt werden, um Exfiltration zu MEGA zu unterbinden. Ereignisprotokolle sollten zentral gesichert werden, da diese mit wevtutil gelöscht werden.