Yurei

Überblick

Yurei ist eine Ransomware-Gruppe, deren Schadsoftware auf einem nur geringfügig veränderten Ableger der quelloffenen Prince-Ransomware beruht. Zur Verschlüsselung der Daten setzt die Gruppe den Algorithmus ChaCha20 ein. Eine Besonderheit ihres Vorgehens ist die Fähigkeit zur Ausbreitung über SMB-Freigaben im Netzwerk, wodurch sich die Schadsoftware nach einem ersten Zugriff selbsttätig auf weitere erreichbare Systeme verbreiten kann. Im Visier stehen vor allem Einrichtungen aus der Lebensmittelherstellung, dem Transportwesen und der IT-Branche. Regional konzentrieren sich die beobachteten Angriffe bislang auf Sri Lanka und Nigeria. Da der eingesetzte Schadcode auf einem öffentlich verfügbaren Projekt aufsetzt und nur in geringem Umfang angepasst wurde, lässt sich das Vorgehen der Gruppe als vergleichsweise einfach gehaltene, aber funktionsfähige Erpressungsoperation einordnen, die auf bewährten Bausteinen aufbaut und gezielt Organisationen in bestimmten Wirtschaftszweigen und Regionen angreift.

Taktiken & Vorgehen

Für ihre Angriffe greift Yurei auf eine Reihe frei verfügbarer Werkzeuge zurück. Zur Erkundung des Netzwerks und der erreichbaren Systeme kommen „Everything.exe“ sowie „SoftPerfect NetScan“ zum Einsatz. Die seitliche Bewegung im Netzwerk erfolgt unter anderem über „PsExec“ und „NetExec“. Zum Abgreifen und Wiederverwenden von Zugangsdaten nutzt die Gruppe „Invoke-TheHash“ für Pass-the-Hash-Angriffe sowie „Rubeus“ zum Missbrauch von Kerberos-Tickets. Für die Ausweitung von Rechten auf kompromittierten Systemen wird „WinPEAS“ zur Schwachstellen- und Konfigurationsanalyse verwendet. Den dauerhaften Fernzugriff stellt die Gruppe über „AnyDesk“ her. Mit „SDelete“ werden Daten sicher gelöscht, um Spuren zu beseitigen und eine Wiederherstellung zu erschweren.

Schutzmaßnahmen

Da die Schadsoftware sich über SMB-Freigaben verbreitet, sollten Netzwerkfreigaben streng segmentiert und nur nach dem Prinzip der minimalen Rechtevergabe zugänglich gemacht werden. Gegen den Einsatz von „PsExec“ und „NetExec“ zur seitlichen Bewegung sollte die Ausführung administrativer Fernzugriffsdienste überwacht und eingeschränkt werden. Dem Missbrauch von Zugangsdaten durch „Invoke-TheHash“ und „Rubeus“ ist mit Mehr-Faktor-Authentisierung, gehärteten Kerberos-Konfigurationen und der Trennung administrativer Konten zu begegnen. Der Einsatz von Fernwartungssoftware wie „AnyDesk“ sollte unterbunden oder durch Anwendungssteuerung auf freigegebene Werkzeuge beschränkt werden. Auffälliges Verhalten von Aufklärungs- und Rechteausweitungswerkzeugen wie „SoftPerfect NetScan“ oder „WinPEAS“ sollte durch Endpunktüberwachung erkannt werden.