Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
HeimSpielen Sie Ransomware-Angriffe mit neuen benutzerdefinierten Tools ab
Forscher haben zwei neue benutzerdefinierte Tools entdeckt, die bei Play-Ransomware-Angriffen eingesetzt werden, da verschiedene Bedrohungsakteure zunehmend proprietäre Tools einsetzen, um sich einen Wettbewerbsvorteil zu verschaffen und ihre Angriffe besser auf die Umgebungen der Opfer abzustimmen.
Das Threat-Hunter-Team von Symantec fand die Gruppe hinter der Play-Ransomware mithilfe eines maßgeschneiderten Netzwerk-Scan-Tools Grixba, um alle Computer und Benutzer in der Domäne aufzuzählen, sowie einer ausführbaren .NET-Datei, die es Angreifern ermöglicht, Dateien vom Volume Shadow Copy Service (VSS) zu kopieren. die normalerweise vom Betriebssystem gesperrt sind.
„Der Einsatz proprietärer Tools … gibt Ransomware-Betreibern mehr Kontrolle über ihre Abläufe“, sagten Forscher in einer Analyse vom Mittwoch. „Wenn ein Tool allgemein verfügbar ist, kann es von anderen Angreifern rückentwickelt oder angepasst werden, was möglicherweise die Wirksamkeit des ersten Angriffs schwächt. Indem sie ihre Tools proprietär und exklusiv halten, können Ransomware-Banden ihren Wettbewerbsvorteil wahren und ihre Gewinne maximieren.“
Die Balloonfly-Gruppe, die die im Juni 2022 gestartete Ransomware Play entwickelt, hat mehrere doppelte Erpressungsangriffe durchgeführt, darunter kürzlich einen Cyberangriff auf die Stadt Oakland, Kalifornien. Die Gruppe hatte es zuvor auf Microsoft Exchange-Schwachstellen abgesehen, beispielsweise auf eine Erhöhung von Privilegien Fehler (CVE-2022-41080) und Fehler bei der Remotecodeausführung (CVE-2022-41082).
Die Gruppe scheint Play nicht als Ransomware-as-a-Service zu betreiben, und ihre diese Woche aufgedeckten benutzerdefinierten Tools können ihr einen Wettbewerbsvorteil gegenüber anderen Gruppen verschaffen. Balloonfly hat beide Tools mit einem beliebten .NET-Entwicklungstool namens Costura entwickelt, das es Benutzern ermöglicht, Anwendungsabhängigkeiten in eine einzige ausführbare Datei einzubetten.
„Indem sie ihre Tools proprietär und exklusiv halten, können Ransomware-Banden ihren Wettbewerbsvorteil wahren und ihre Gewinne maximieren.“
Der .NET Grixba-Infostealer sucht nach Software, Remoteverwaltungstools, verschiedenen Sicherheitsprogrammen und mehr, zählt diese auf und stellt diese Informationen zur Exfiltration zusammen. Das andere Tool nutzt die AlphaVSS-Bibliothek – ein .NET-Framework für die Interaktion mit VSS –, um Dateien vor der Verschlüsselung aus VSS-Snapshots zu kopieren.
Immer mehr Gruppen wenden sich von öffentlich verfügbaren Tools oder einfachen Skripten ab und verwenden stattdessen vollständig benutzerdefinierte Tools, darunter das Datenexfiltrationstool Exmatter, das bei mehreren BlackMatter-Ransomware-Angriffen im Jahr 2021 verwendet wurde, das benutzerdefinierte Datenexfiltrationstool Exbyte, das letztes Jahr von BlackByte entwickelt wurde, und ein PowerShell-basiertes Tool Werkzeug der Vice Society.
Benutzerdefinierte Exfiltrationstools wie diese erhöhen die Geschwindigkeit von Angriffen, können aber, wie die benutzerdefinierten Tools von Play Ransomware zeigen, auch die Komplexität und Leistungsfähigkeit von Angriffen erhöhen, sagte Dick O'Brien, Principal Intelligence Analyst der Symantec Threat Hunter Group.
„Es ist möglich, dass Angriffe immer komplexer werden und daher die Automatisierung einiger Schritte erforderlich wird“, sagte O'Brien. „Dinge wie das Kopieren gesperrter Dateien sind etwas, von dem wir nicht sicher sind, ob sich Angreifer vor ein paar Jahren die Mühe gemacht hätten.“
Neben Exfiltrationstools haben Bedrohungsakteure andere Arten von Toolsets entwickelt, um ihre Angriffskette zu erweitern und ihren Angriffen zusätzliche Komplexitätsebenen hinzuzufügen. Seit 2022 verwendet beispielsweise eine Untergruppe des bekannten iranischen Akteurs APT35 zwei benutzerdefinierte Implantate, um in kompromittierten Umgebungen zu bestehen, der Entdeckung zu entgehen und Malware der zweiten Stufe einzusetzen.
„In mancher Hinsicht könnte es ein positives Zeichen sein, denn es deutet darauf hin, dass die Angreifer das Gefühl haben, dass zu viele Angriffe aufgedeckt werden, bevor sie abgeschlossen werden können“, sagte O'Brien. „Wir sehen auch, dass Angreifer größere Anstrengungen unternehmen, um Sicherheitssoftware zu deaktivieren, was auch darauf hindeutet, dass sie häufiger ausgebremst werden.“
Die Qakbot-Malware-Betreiber haben ihre Taktik erneut geändert, um sich an veränderte Abwehrmaßnahmen anzupassen.
Ein neuer RAT namens SeroXen steht in Foren und Social-Media-Plattformen zum Verkauf und kann EDR umgehen und liefert ...
Eine im Februar angekündigte BlackCat-Ransomware-Version enthält neue Fähigkeiten, die es Angreifern ermöglichen, der Erkennung und Analyse zu entgehen.