Ransomexx

Überblick

RansomExx ist eine Ransomware-Familie, die gegen Unternehmen unterschiedlicher Branchen eingesetzt wird. Charakteristisch ist, dass die Schadsoftware nicht breit gestreut, sondern gezielt gegen einzelne Organisationen gerichtet wird, deren Netzwerke die Angreifer zuvor kompromittiert haben. RansomExx weist deutliche Gemeinsamkeiten mit der Schadsoftware-Familie Defray777 auf, was auf eine enge technische Verwandtschaft beziehungsweise eine gemeinsame Entwicklungslinie hindeutet. Das Vorgehen folgt dem Muster eines manuell gesteuerten Angriffs: Die Täter verschaffen sich Zugang zur Zielumgebung, bewegen sich darin fort und bringen die Verschlüsselung erst nach vorbereitender Tätigkeit im Netzwerk zur Ausführung. Damit reiht sich RansomExx in die Kategorie der zielgerichteten, von menschlichen Akteuren gelenkten Ransomware-Operationen ein, bei denen die eigentliche Verschlüsselung den Abschluss einer längeren Phase der Netzwerkkompromittierung bildet.

Taktiken & Vorgehen

RansomExx-Operationen stützen sich auf eine Reihe bekannter Werkzeuge zur Kompromittierung von Netzwerken. Zum Abgreifen von Zugangsdaten kommen LaZagne und Mimikatz zum Einsatz, mit denen Anmeldeinformationen aus Systemen und dem Speicher gewonnen werden. ProcDump dient dazu, den Speicher von Prozessen auszulesen und so weitere Anmeldedaten zu extrahieren. Mit BCDEdit lässt sich die Boot-Konfiguration der betroffenen Systeme manipulieren. Über die Windows Event Utility (wevtutil) werden Ereignisprotokolle bearbeitet beziehungsweise gelöscht, um Spuren der Aktivität zu verwischen. Für die Steuerung des Angriffs sowie die Bewegung innerhalb des Netzwerks nutzen die Täter das Framework Cobalt Strike, das als Command-and-Control-Infrastruktur und zur seitlichen Ausbreitung dient.

Schutzmaßnahmen

Der Zugriff auf Anmeldeinformationen und den Prozessspeicher sollte konsequent eingeschränkt werden, um den Einsatz von LaZagne, Mimikatz und ProcDump zu erschweren; insbesondere der Zugriff auf den Speicher sicherheitskritischer Prozesse sollte überwacht und gehärtet werden. Ereignisprotokolle sollten zentral und manipulationssicher gespeichert werden, sodass ein Löschen über wevtutil erkannt und nachvollzogen werden kann. Veränderungen an der Boot-Konfiguration durch BCDEdit sollten protokolliert und auf unbefugte Ausführung hin überwacht werden. Zur Erkennung von Cobalt Strike sollte der Netzwerkverkehr auf typische Command-and-Control-Muster sowie Anzeichen seitlicher Bewegung analysiert werden.