Nitrogen

Überblick

Nitrogen trat zunächst als Schadsoftware-Lader in Erscheinung, der dazu diente, die Ransomware ALPHV/BlackCat auf kompromittierten Systemen auszuliefern. Aus dieser unterstützenden Rolle entwickelte sich die Gruppe zu einem eigenständigen Ransomware-Akteur, der eine eigene Verschlüsselungssoftware betreibt. Diese Schadsoftware leitet sich vom durchgesickerten Builder-Code der Conti-Familie ab, sodass Nitrogen auf eine erprobte technische Grundlage zurückgreift, ohne eine vollständig neue Verschlüsselung entwickeln zu müssen. Charakteristisch für die Gruppe ist das Vorgehen nach dem Muster der doppelten Erpressung: Daten werden vor der Verschlüsselung abgezogen, um die Betroffenen zusätzlich mit einer drohenden Veröffentlichung unter Druck zu setzen. Die Aktivitäten und die genutzte Infrastruktur werden vorrangig dem osteuropäischen Raum zugeordnet. Mit dem Übergang vom reinen Zulieferer hin zum selbstständigen Betreiber zeigt Nitrogen eine typische Entwicklung, bei der ein anfänglicher Zugangs- und Auslieferungsdienst in eine eigene Erpressungsoperation überführt wird.

Taktiken & Vorgehen

Den Erstzugang verschafft sich Nitrogen über manipulierte Webinhalte (Drive-by Compromise) sowie über das Ausführen schädlicher Dateien durch Anwender (User Execution: Malicious File). Zur Ausführung kommen Kommandozeilen-Interpreter und insbesondere PowerShell zum Einsatz. Dauerhaften Zugriff sichert die Gruppe über geplante Tasks (Scheduled Task). Rechte werden durch Ausnutzung von Schwachstellen ausgeweitet, während zur Verschleierung obfuskierte Dateien sowie der missbräuchliche Einsatz legitimer Systembinaries (System Binary Proxy Execution) dienen. Zugangsdaten werden durch Auslesen des LSASS-Speichers abgegriffen. Zur Erkundung dienen die Abfrage von Systemdiensten und Prozessen. Die seitliche Bewegung im Netzwerk erfolgt über das Remote Desktop Protocol sowie über SMB- und Windows-Admin-Freigaben. Daten werden automatisiert gesammelt und automatisiert über den C2-Kanal mittels Web-Protokollen exfiltriert.

Schutzmaßnahmen

Da PowerShell und Kommandozeilen-Interpreter zur Ausführung genutzt werden, sollten deren Einsatz protokolliert und verdächtige Skriptaufrufe eingeschränkt werden. Geplante Tasks sollten auf unautorisierte Einträge überwacht werden. Der Zugriff auf den LSASS-Speicher sollte überwacht und durch geeignete Schutzmechanismen erschwert werden, um das Auslesen von Zugangsdaten zu verhindern. Fernzugänge über das Remote Desktop Protocol sowie SMB- und Windows-Admin-Freigaben sollten abgesichert, segmentiert und mit Mehr-Faktor-Authentisierung versehen werden, um die seitliche Bewegung zu begrenzen. Gegen Drive-by Compromise und das Ausführen schädlicher Dateien sollten Web- und Anwendungsfilter sowie eine restriktive Ausführungskontrolle eingesetzt werden. Ausgehender Datenverkehr sollte auf automatisierte Exfiltration über Web-Protokolle hin überwacht werden.