RansomHub

Überblick

RansomHub tritt als Ransomware-as-a-Service (RaaS) auf, dessen Partnerprogramm in einem russischsprachigen Cybercrime-Forum (RAMP) durch eine Persona mit dem Namen „koley“ beziehungsweise „Koley“ beworben wurde. Im Modell von RansomHub liegt die Geldwäsche der erpressten Zahlungen bei den Partnern; auch die gesamte Kommunikation mit den Betroffenen sowie die Übergabe des Entschlüsselungswerkzeugs erfolgen über einen Chat. Die Gruppe setzt auf doppelte Erpressung durch Verschlüsselung und das Abfließen von Daten. Die Schadsoftware ist in der Programmiersprache Golang geschrieben und nutzt asymmetrische Verfahren auf Basis von x25519 sowie die Verschlüsselungsalgorithmen AES256, ChaCha20 und xChaCha20; sie gilt als besonders schnell und verschleiert ihren Code mittels AST. Die Nutzlast unterstützt die Ausbreitung im Netzwerk und kann Daten sowohl im gesicherten als auch im lokalen Modus verschlüsseln. Als Ziele werden die Plattformen Windows, Linux und ESXi sowie weitere Architekturen wie ARM und MIPS genannt. Die Steuerung erfolgt über ein Tor-gestütztes Panel.

Taktiken & Vorgehen

Den Erstzugang verschafft sich die Gruppe über gültige Konten (auch lokale), die Ausnutzung öffentlich erreichbarer Anwendungen sowie Phishing per Anhang und per Sprachanruf. Zur Anmeldedaten-Erbeutung kommen Mimikatz, das Auslesen des LSASS-Speichers, der NTDS-Datenbank sowie der Dateien „/etc/passwd“ und „/etc/shadow“ zum Einsatz, ergänzt durch Brute-Force und Password Spraying. Für laterale Bewegung werden RDP, SMB-Admin-Freigaben, SSH und Werkzeuge wie PsExec, Impacket, CrackMapExec, NetExec und Cobalt Strike sowie Sliver und Metasploit genutzt. Zur Verteidigungsumgehung werden über BYOVD (etwa „STONESTOP“ und „POORTRY“) Schutzprogramme deaktiviert, Ereignisprotokolle mit „wevtutil.exe“ gelöscht und Schattenkopien über „WMIC.exe“ entfernt. Fernwartungswerkzeuge wie AnyDesk, Atera, ScreenConnect und Splashtop dienen dem Zugriff; die Datenabfließung erfolgt über RClone, FileZilla und WinSCP in Cloud-Speicher.

Schutzmaßnahmen

Fernzugänge und externe Dienste (RDP, SSH, SMB-Freigaben) sollten über VPN und Mehr-Faktor-Authentisierung abgesichert und in ihrer Erreichbarkeit eingeschränkt werden. Da gültige Konten, Brute-Force und Password Spraying zum Einsatz kommen, sollten starke Anmeldeverfahren erzwungen und Anmeldeversuche überwacht werden. Gegen das Auslesen von Anmeldedaten aus dem LSASS-Speicher und der NTDS-Datenbank sollten Schutzmechanismen für den Speicherzugriff aktiviert werden. Der Missbrauch verwundbarer Treiber (BYOVD) sollte durch Treiber-Sperrlisten unterbunden werden. Der Einsatz von Fernwartungswerkzeugen wie AnyDesk, Atera und ScreenConnect sollte auf freigegebene Anwendungen begrenzt und protokolliert werden. Ausgehender Datenverkehr durch Werkzeuge wie RClone, FileZilla und WinSCP in Cloud-Speicher sollte überwacht und eingeschränkt werden.