Sarcoma

Überblick

Sarcoma ist eine Ransomware-Gruppe, die sich kurz nach ihrem Erscheinen zu einem der aktivsten Akteure im weltweiten Ransomware-Geschehen entwickelte und in kurzer Zeit zahlreiche dokumentierte Opfer hervorbrachte. Im Fokus stehen vor allem mittelständische Unternehmen. Betroffen sind Einrichtungen unterschiedlicher Branchen, darunter die Fertigungsindustrie, der Handel, das Gesundheitswesen, der Rechtsbereich sowie unternehmensnahe Dienstleister. Ein deutlicher geografischer Schwerpunkt der Angriffe liegt auf den Vereinigten Staaten. Charakteristisch für Sarcoma ist das hohe Angriffsaufkommen bei gleichzeitiger Konzentration auf das mittlere Marktsegment, in dem die Gruppe verwertbare Daten verschlüsselt und Betriebsabläufe stört. Die Vorgehensweise verbindet einen anfänglichen Netzzugang über verschiedene Wege mit anschließender Ausbreitung im Netzwerk, dem Abgreifen von Daten und der abschließenden Verschlüsselung der Systeme, wodurch die betroffenen Organisationen unter Druck gesetzt werden.

Taktiken & Vorgehen

Für den Erstzugang nutzt Sarcoma gültige Konten (Valid Accounts), das Ausnutzen öffentlich erreichbarer Anwendungen, missbräuchlich genutzte Vertrauensbeziehungen (Trusted Relationship) sowie Phishing, einschließlich Spearphishing mit schädlichem Anhang. Zur Verankerung im System werden geplante Aufgaben (Scheduled Task/Job, auch Cron) eingerichtet. Zur Tarnung kommen verschleierte Dateien, Änderungen an der Registry sowie das gezielte Schwächen und Deaktivieren von Schutzwerkzeugen (Impair Defenses) zum Einsatz. Anmeldedaten werden über OS Credential Dumping erbeutet. Zur Erkundung des Netzwerks dient unter anderem der Advanced IP Scanner, ergänzt durch System- und Verzeichnis-Erkundung sowie das Ermitteln der Systemsprache. Die seitliche Bewegung erfolgt über Remote Services. Gesammelte Daten werden archiviert und über Web-Dienste exfiltriert, gesteuert über Remote-Access-Werkzeuge. Abschließend werden Daten verschlüsselt, Dienste gestoppt und die Systemwiederherstellung unterbunden.

Schutzmaßnahmen

Da der Erstzugang über gültige Konten und Phishing erfolgt, sollten Anmeldeverfahren durch Mehr-Faktor-Authentisierung abgesichert und eingehende Nachrichten mit Anhängen gefiltert werden. Öffentlich erreichbare Anwendungen sollten gehärtet und Vertrauensbeziehungen zu Dienstleistern eng begrenzt werden. Geplante Aufgaben und Änderungen an der Registry sollten überwacht werden, um Persistenz frühzeitig zu erkennen. Schutzwerkzeuge sollten gegen Deaktivierung abgesichert und ihre Manipulation alarmiert werden. Der Zugriff auf Anmeldedaten sollte eingeschränkt und Credential Dumping erkannt werden. Interne Erkundung über Netzwerk-Scanner sowie die seitliche Bewegung über Remote Services sollten durch Netzsegmentierung und Überwachung begrenzt werden. Auffälliger Datenabfluss über Web-Dienste sollte erkannt und unterbunden werden.