Stormous

Überblick

Stormous ist eine arabischsprachige, prorussische Ransomware- und Hacktivisten-Gruppe, die politisch motivierte Angriffe verfolgt und dabei Erpressung mit ideologischen Beweggründen verbindet. Die Gruppe richtet sich gegen Einrichtungen unterschiedlicher Branchen und Regionen über zahlreiche Länder hinweg, wobei die Zielauswahl häufig politischen Erwägungen folgt. Kennzeichnend ist die enge Zusammenarbeit mit der Gruppierung GhostSec: Gemeinsam betreiben beide die Ransomware-as-a-Service-Plattform „GhostLocker 2.0“, über die Schadsoftware auch anderen Akteuren zur Verfügung gestellt wird. Im Zuge dieser Kooperation übernahm Stormous die RaaS-Operationen von GhostSec und baute damit ihr eigenes Dienstleistungsmodell aus. Durch die Verbindung von Ransomware-Geschäftsmodell und hacktivistischem Selbstverständnis tritt Stormous sowohl als finanziell motivierter Erpresser als auch als politisch agierender Akteur auf. Die Gruppe ist über einen längeren Zeitraum aktiv und hat sich durch die Bereitstellung einer eigenen RaaS-Infrastruktur als organisierter Bedrohungsakteur etabliert.

Taktiken & Vorgehen

Für den Erstzugang nutzt Stormous gültige Zugangsdaten („Valid Accounts“), das Ausnutzen öffentlich erreichbarer Anwendungen, missbrauchte Vertrauensbeziehungen sowie Phishing, einschließlich Spearphishing mit schädlichen Anhängen. Zur Ausführung kommen Skript- und Befehlsinterpreter, darunter Visual Basic, sowie die Verleitung von Nutzern zum Öffnen schädlicher Dateien zum Einsatz. Persistenz wird über geplante Aufgaben, Kontomanipulation, Web Shells, Windows-Dienste und Registry-Run-Keys hergestellt; Rechte werden per UAC-Umgehung ausgeweitet. Zur Tarnung dienen Verschleierung, Software-Packing, dateilose Speicherung, Verschlüsselung von Dateien, das Entfernen von Spuren und das Deaktivieren von Schutzwerkzeugen. Anmeldedaten werden per OS Credential Dumping abgegriffen. Die Ausbreitung erfolgt über RDP und SMB/Windows-Admin-Shares. Gesammelte Daten werden archiviert und über C2-Kanäle sowie in Cloud-Speicher exfiltriert, bevor sie verschlüsselt und Wiederherstellungsmechanismen unterbunden werden.

Schutzmaßnahmen

Fernzugänge über RDP und SMB/Windows-Admin-Shares sollten eingeschränkt, segmentiert und über gehärtete Zugänge abgesichert werden. Da gültige Zugangsdaten und Phishing als Einstiegswege dienen, sollten Konten mit Mehr-Faktor-Authentisierung geschützt und eingehende Anhänge gefiltert werden. Öffentlich erreichbare Anwendungen sollten zeitnah aktualisiert und vom internen Netz getrennt werden. Gegen OS Credential Dumping sollte der Zugriff auf Anmeldeinformationen überwacht und eingeschränkt werden. Schutzwerkzeuge sollten mit Manipulationsschutz versehen werden, um deren Deaktivierung zu erschweren. Geplante Aufgaben, neue Dienste und Registry-Run-Keys sollten auf unautorisierte Änderungen überwacht werden. Zur Begegnung der Unterbindung der Systemwiederherstellung sollten Sicherungen offline und manipulationsgeschützt vorgehalten werden.