Spacebears

Überblick

Space Bears ist eine Ransomware-Gruppe, die nach dem Prinzip der Double Extortion vorgeht: Sie verschlüsselt nicht nur die Daten ihrer Opfer, sondern entwendet diese zuvor und droht mit ihrer Veröffentlichung, um den Druck auf die Betroffenen zu erhöhen. Charakteristisch ist der bewusst professionelle, an ein Unternehmen erinnernde Auftritt ihrer Leak-Seite, mit dem sich die Gruppe von vielen anderen Akteuren abzuheben versucht. Technisch stützt sich Space Bears auf die Infrastruktur des Ransomware-as-a-Service-Angebots Phobos. Ins Visier nimmt die Gruppe vorrangig kleine und mittlere Organisationen, insbesondere aus den Bereichen Fertigung, Technologie und Gesundheitswesen. Ihr geografischer Schwerpunkt liegt auf Einrichtungen in den Vereinigten Staaten und in Europa. Damit zielt Space Bears gezielt auf Organisationen, die häufig über begrenzte Ressourcen zur Abwehr solcher Angriffe verfügen, und kombiniert ein etabliertes RaaS-Modell mit einer auf Seriosität bedachten Außendarstellung gegenüber ihren Opfern.

Taktiken & Vorgehen

Im Rahmen ihrer Angriffe setzt Space Bears eine Reihe systemnaher Windows-Werkzeuge ein, um Schutzmechanismen auszuhebeln und die Wiederherstellung zu erschweren. Mit „Defender Control“ wird der installierte Virenschutz deaktiviert. Über „BCDEdit“ werden Startkonfiguration und Wiederherstellungsoptionen des Systems manipuliert, während „vssadmin“ zum Löschen der Schattenkopien dient, um eine einfache Datenrettung zu verhindern. „fsutil“ wird zur Manipulation des Dateisystems genutzt, „netsh“ zur Veränderung der Netzwerk- und Firewall-Konfiguration. Mit „WMIC“ und „VmConnect“ werden Systeme verwaltet beziehungsweise virtuelle Maschinen angesteuert. Die Gruppe stützt sich dabei überwiegend auf legitime Bordmittel des Betriebssystems, was die Erkennung der schädlichen Aktivität deutlich erschwert.

Schutzmaßnahmen

Der Manipulation des Virenschutzes durch „Defender Control“ sollte durch Manipulationsschutz der Sicherheitssoftware sowie eine zentrale Überwachung des Schutzstatus begegnet werden. Das Löschen der Schattenkopien über „vssadmin“ und Eingriffe in die Startkonfiguration durch „BCDEdit“ sollten durch eine Überwachung dieser Befehlsaufrufe und durch eingeschränkte Administrationsrechte erkannt und unterbunden werden. Da überwiegend legitime Bordmittel wie „WMIC“, „netsh“, „fsutil“ und „VmConnect“ missbraucht werden, sollten deren Ausführung protokolliert und auffällige Nutzungsmuster ausgewertet werden. Wo möglich, sollte die Ausführung selten benötigter Systemwerkzeuge eingeschränkt werden, um den Missbrauch dieser Programme zu erschweren.