Beast

Überblick

Beast ist ein als Ransomware-as-a-Service (RaaS) vertriebenes Schadprogramm, das anderen Angreifern als einsatzfertiges Werkzeug zur Verfügung gestellt wird. Der Funktionsumfang ist auf das eigenständige Vorgehen innerhalb eines befallenen Netzwerks ausgelegt: Beast kann das Netzwerk über das SMB-Protokoll absuchen, um weitere erreichbare Systeme aufzuspüren, und Dateien auf den befallenen Rechnern verschlüsseln. Darüber hinaus ist die Schadsoftware in der Lage, Dienste und Prozesse gezielt zu starten und zu beenden, um die Verschlüsselung vorzubereiten und störende Anwendungen auszuschalten. Ein kennzeichnendes Merkmal ist die geografische Erkennung des befallenen Systems: Beast prüft den Standort und verzichtet auf die Verschlüsselung, wenn sich das Ziel in den GUS-Staaten befindet. Dieses Vorgehen ist typisch für RaaS-Angebote, die ihre Partner mit standardisierten Verschlüsselungs- und Verbreitungsfunktionen ausstatten und so auch weniger versierten Tätern den Betrieb ermöglichen.

Taktiken & Vorgehen

Zum Auskundschaften des Netzwerks setzt Beast neben dem eigenen SMB-Scanner verbreitete Werkzeuge wie „Advanced IP Scanner“, „Advanced Port Scanner“, „SoftPerfect NetScan“ sowie „Everything.exe“ ein, um Systeme, Dienste und Dateien aufzuspüren. Für den Zugriff auf Zugangsdaten kommen „Mimikatz“, „LaZagne“ und „Automim“ zum Einsatz. Die Verbreitung im Netzwerk und die Ausführung auf weiteren Rechnern erfolgen mit „PsExec“. Den dauerhaften Fernzugriff sichern die Angreifer über „AnyDesk“, „OpenSSH“, „Klink“ sowie „WinSCP“ ab. Für den Abfluss der erbeuteten Daten werden der Cloud-Dienst „MEGA“ und „WinSCP“ genutzt. Die Kombination aus Netzwerk-Scannern, Werkzeugen zum Abgreifen von Anmeldedaten und Fernzugriffsprogrammen ermöglicht eine eigenständige Ausbreitung bis zur Verschlüsselung.

Schutzmaßnahmen

Da Beast über das SMB-Protokoll nach erreichbaren Systemen sucht und sich mit „PsExec“ weiterverbreitet, sollte der SMB-Verkehr im Netzwerk segmentiert und überwacht sowie die administrative Ausführung über „PsExec“ eingeschränkt und protokolliert werden. Gegen das Abgreifen von Anmeldedaten mit „Mimikatz“, „LaZagne“ und „Automim“ sollte der Zugriff auf den Speicher des Authentifizierungsdienstes gehärtet und privilegierte Konten gesondert geschützt werden. Der Einsatz von Fernzugriffswerkzeugen wie „AnyDesk“, „OpenSSH“ und „Klink“ sollte durch Anwendungssteuerung unterbunden oder auf freigegebene Programme begrenzt werden. Verbindungen zu Diensten wie „MEGA“ sowie Übertragungen über „WinSCP“ sollten am Netzwerkübergang erkannt und blockiert werden, um den Abfluss von Daten zu verhindern.