Embargo

Überblick

Embargo ist eine als Ransomware-as-a-Service betriebene Erpressergruppe, deren Schadsoftware in der Programmiersprache Rust entwickelt wurde. Die Gruppe wird als möglicher Nachfolger der Gruppierung BlackCat/ALPHV eingeschätzt. Ihr Vorgehen folgt dem Muster der doppelten Erpressung (Double Extortion): Daten werden zunächst aus den Netzwerken der Betroffenen entwendet, bevor die Systeme verschlüsselt werden, sodass neben der Wiederherstellung auch mit der Veröffentlichung der gestohlenen Informationen gedroht werden kann. Im Visier stehen vorrangig Organisationen in den Vereinigten Staaten, insbesondere Einrichtungen des Gesundheitswesens, der industriellen Fertigung sowie Unternehmen aus dem Bereich der geschäftlichen Dienstleistungen. Als Erpressergruppe mit einem ausgereiften Dienstleistungsmodell stellt Embargo ihre Infrastruktur und Schadsoftware offenbar auch verbundenen Akteuren zur Verfügung, wodurch sich Angriffe gegen ein breites Spektrum an Zielen richten und über einen längeren Zeitraum hinweg erfolgen.

Taktiken & Vorgehen

Embargo greift im Verlauf eines Angriffs gezielt in die Sicherheits- und Systemfunktionen der betroffenen Rechner ein. Zum Einsatz kommt der Minifilter-Treiber „s4killer“, mit dem Schutzlösungen auf Treiberebene erkannt und außer Kraft gesetzt werden, um eine Entdeckung der Verschlüsselung zu verhindern. Über das Windows-Bordmittel „BCDEdit“ wird die Startkonfiguration des Systems manipuliert, was eine Wiederherstellung der betroffenen Rechner erschwert. Zur Steuerung und Beendigung laufender Dienste nutzt die Gruppe das Dienstprogramm „ServiceControl“ („sc.exe“), um sicherheitsrelevante oder für die Verschlüsselung hinderliche Dienste anzuhalten. Das Zusammenspiel aus dem Abschalten von Schutzsoftware, der Manipulation der Startumgebung und der gezielten Dienststeuerung schafft die Voraussetzungen für eine möglichst ungestörte Verschlüsselung.

Schutzmaßnahmen

Da mit dem Minifilter-Treiber „s4killer“ Schutzsoftware auf Treiberebene deaktiviert wird, sollte das Laden von Treibern über Mechanismen wie eine Treiber-Sperrliste eingeschränkt und der Manipulationsschutz der eingesetzten Sicherheitslösungen aktiviert werden; das unerwartete Beenden von Schutzprozessen sollte überwacht und alarmiert werden. Gegen die Manipulation der Startkonfiguration mit „BCDEdit“ sollten Änderungen an der Boot- und Wiederherstellungsumgebung protokolliert und ausgewertet werden. Da Dienste über „ServiceControl“ („sc.exe“) angehalten werden, sollte die Ausführung dieses Werkzeugs überwacht und das Anhalten sicherheitsrelevanter Dienste als verdächtiges Verhalten erkannt werden. Administrative Rechte sollten restriktiv vergeben werden, um den Einsatz dieser Werkzeuge zu erschweren.