Sinobi

Überblick

Sinobi ist eine als Ransomware-as-a-Service betriebene Erpressergruppe, die mit einem geschlossenen, sorgfältig geprüften Partnerprogramm arbeitet. Sicherheitsforscher gehen davon aus, dass es sich um eine Umbenennung aus der Linie der Ransomware-Familien Lynx und INC handelt. Die Gruppe setzt auf das Modell der doppelten Erpressung: Bevor die Daten ihrer Opfer verschlüsselt werden, greift sie diese ab und droht mit deren Veröffentlichung, um den Druck auf die Betroffenen zu erhöhen. Im Fokus stehen vorwiegend mittelständische Organisationen im US-amerikanischen Raum. Der Zugang zu den Zielnetzen wird typischerweise über kompromittierte VPN-Zugangsdaten von SonicWall-Systemen erlangt. Damit verbindet Sinobi ein professionell organisiertes Partnermodell mit einem klar umrissenen Opferprofil und einem bewährten Erpressungsvorgehen, das auf der gleichzeitigen Bedrohung durch Datenverlust und Datenveröffentlichung beruht.

Taktiken & Vorgehen

Den Erstzugang verschafft sich Sinobi über gültige Zugangsdaten — etwa von Managed-Service-Providern —, über die Ausnutzung öffentlich erreichbarer Anwendungen wie SonicWall-VPNs sowie über Phishing. Zur Ausführung kommt in großem Umfang PowerShell zum Einsatz, ergänzt um die Windows-Eingabeaufforderung, native API-Aufrufe und die Ausführung über Systemdienste. Die Persistenz wird durch das Anlegen oder Verändern von Windows-Diensten gesichert. Zur Tarnung verschleiert die Gruppe Dateien, löscht Ereignisprotokolle und Dateien und deaktiviert aktiv EDR-Lösungen wie VMware Carbon Black. Nach einer Rechteausweitung bewegt sie sich per RDP zwischen Servern. Daten werden mit Rclone zu öffentlichen Cloud-Speichern ausgeleitet, bevor die Verschlüsselung mit AES-128-CTR und Curve-25519 erfolgt und die Endung „.SINOBI“ angehängt wird. Schattenkopien werden über vssadmin.exe gelöscht, um die Systemwiederherstellung zu verhindern.

Schutzmaßnahmen

Fernzugänge und VPN-Systeme, insbesondere von SonicWall, sollten konsequent abgesichert und Zugangsdaten — auch solche von Managed-Service-Providern — durch Mehr-Faktor-Authentisierung geschützt werden, da der Erstzugang über gültige Konten und öffentlich erreichbare Anwendungen erfolgt. RDP-Verbindungen zwischen Servern sollten eingeschränkt und überwacht werden. EDR-Lösungen wie VMware Carbon Black sollten gegen Deaktivierung gehärtet werden, und Ereignisprotokolle sollten zentral gesichert werden, um deren Löschung zu erkennen. Die Ausführung von PowerShell sollte protokolliert und eingeschränkt werden. Ausgehender Datenverkehr zu öffentlichen Cloud-Speichern sollte überwacht werden, um eine Exfiltration mittels Rclone frühzeitig zu erkennen. Zudem sollten Schattenkopien vor dem Zugriff durch vssadmin.exe geschützt werden.