WastedLocker: Eine komplexe Ransomware-Variante, die auf große Unternehmen abzielt

Ransomware ist eine Art bösartiger Software, die entwickelt wurde, um Dateien auf einem Computer oder einem System zu sperren, bis ein Lösegeld gezahlt wird. Eine der ersten jemals dokumentierten Ransomwares war der PC Cyborg von 1989 – er verlangte eine magere Lösegeldzahlung von 189 US-Dollar, um gesperrte Dateien zu entschlüsseln.

Die Computertechnologie hat seit 1989 einen langen Weg zurückgelegt, und Ransomware hat sich mit ihr entwickelt, was zu komplexen und potenten Varianten wie WastedLocker führte. Wie funktioniert WastedLocker? Wer ist davon betroffen? Und wie können Sie Ihre Geräte schützen?

Was ist WastedLocker und wie funktioniert es?

WastedLocker wurde erstmals Anfang 2020 entdeckt und wird von den Berüchtigten betrieben Hackergruppe Evil Corp, die auch als INDRIK SPIDER oder die Dridex-Gang bekannt ist und höchstwahrscheinlich Verbindungen zu russischen Geheimdiensten hat.

Das Office of Foreign Assets Control des US-Finanzministeriums verhängte 2019 Sanktionen gegen Evil Corp und das Justizministerium hat seinen mutmaßlichen Führer Maksim Yakubets angeklagt, was die Gruppe zu einer Taktikänderung gezwungen hat.

WastedLocker-Angriffe beginnen in der Regel mit SocGholish, einem Remote-Access-Trojaner (RAT), der Browser- und Flash-Updates nachahmt, um das Ziel dazu zu bringen, bösartige Dateien herunterzuladen.

VERBUNDEN: Was ist ein Remote-Access-Trojaner?

Sobald das Ziel das gefälschte Update herunterlädt, verschlüsselt WastedLocker effektiv alle Dateien auf seinem Computer und hängt sie mit "verschwendet" an, was eine Anspielung auf Internet-Memes zu sein scheint, die vom Grand Theft Auto-Videospiel inspiriert wurden Serie.

So würde beispielsweise eine Datei mit dem ursprünglichen Namen "muo.docx" auf einem kompromittierten Computer als "muo.docx.wasted" angezeigt.

Um Dateien zu sperren, verwendet WastedLocker eine Kombination aus Advanced Encryption Standard (AES) und Rivest-Shamir-Adleman (RSA)-Verschlüsselungsalgorithmen, die eine Entschlüsselung ohne Evil praktisch unmöglich machen Privater Schlüssel von Corp.

Der AES-Verschlüsselungsalgorithmus wird von Finanzinstituten und Regierungen verwendet – die National Security Agency (NSA) beispielsweise verwendet ihn, um streng geheime Informationen zu schützen.

Benannt nach drei Wissenschaftlern des Massachusetts Institute of Technology (MIT), die es erstmals öffentlich in der 1970er Jahren ist der RSA-Verschlüsselungsalgorithmus erheblich langsamer als AES und wird hauptsächlich zum Verschlüsseln kleiner Mengen von Daten.

WastedLocker hinterlässt für jede verschlüsselte Datei eine Lösegeldforderung und weist das Opfer an, die Angreifer zu kontaktieren. Die Nachricht enthält normalerweise eine Protonmail-, Eclipso- oder Tutanota-E-Mail-Adresse.

Die Lösegeldforderungen sind in der Regel individualisiert, nennen die Zielorganisation namentlich und warnen davor, sich an die Behörden zu wenden oder die Kontakt-E-Mails an Dritte weiterzugeben.

Die Malware wurde für große Unternehmen entwickelt und verlangt in der Regel Lösegeldzahlungen von bis zu 10 Millionen US-Dollar.

Die hochkarätigen Angriffe von WastedLocker

Im Juni 2020, Symantec 31 WastedLocker-Angriffe auf US-amerikanische Unternehmen aufgedeckt. Die überwiegende Mehrheit der Zielorganisationen waren große bekannte Namen und 11 waren Fortune-500-Unternehmen.

Die Ransomware zielte auf Unternehmen in verschiedenen Sektoren ab, darunter Fertigung, Informationstechnologie sowie Medien und Telekommunikation.

Evil Corp brach in die Netzwerke der anvisierten Unternehmen ein, aber Symantec gelang es, die Hacker daran zu hindern, WastedLocker einzusetzen und Daten für Lösegeld zu speichern.

Die tatsächliche Gesamtzahl der Angriffe kann viel höher sein, da die Ransomware über Dutzende von beliebten, legitimen Nachrichtenseiten bereitgestellt wurde.

Unnötig zu erwähnen, dass Unternehmen mit einem Wert von mehreren Milliarden Dollar über einen erstklassigen Schutz verfügen, der Bände darüber spricht, wie gefährlich WastedLocker ist.

Im selben Sommer setzte Evil Corp WastedLocker gegen das amerikanische GPS- und Fitness-Tracker-Unternehmen Garmin ein, das einen Jahresumsatz von schätzungsweise über 4 Milliarden US-Dollar erzielt.

Als israelisches Cybersicherheitsunternehmen Votiro Zu der Zeit wurde festgestellt, dass der Angriff Garmin lahmlegte. Es störte viele Dienstleistungen des Unternehmens und hatte sogar Auswirkungen auf Call Center und einige Produktionslinien in Asien.

Berichten zufolge zahlte Garmin ein Lösegeld in Höhe von 10 Millionen US-Dollar, um wieder Zugang zu seinen Systemen zu erhalten. Es dauerte Tage, bis das Unternehmen seine Dienste zum Laufen brachte, was vermutlich zu massiven finanziellen Einbußen führte.

Obwohl Garmin anscheinend der Meinung war, dass die Zahlung des Lösegelds der beste und effizienteste Weg ist, um die Situation zu lösen, ist es wichtig zu beachten dass man Cyberkriminellen niemals vertrauen sollte – manchmal haben sie keinen Anreiz, einen Entschlüsselungsschlüssel bereitzustellen, nachdem sie das Lösegeld erhalten haben Zahlung.

Generell ist es im Falle eines Cyberangriffs am besten, sich sofort an die Behörden zu wenden.

Außerdem verhängen Regierungen auf der ganzen Welt Sanktionen gegen Hackergruppen, und manchmal diese Sanktionen gelten auch für Personen, die eine Lösegeldzahlung leisten oder ermöglichen, so dass auch rechtliche Risiken bestehen Erwägen.

Was ist Hades Variant Ransomware?

Im Dezember 2020 entdeckten Sicherheitsforscher eine neue Ransomware-Variante namens Hades (nicht verwechselt mit dem 2016 Hades Locker, der normalerweise per E-Mail in Form von MS Word bereitgestellt wird Anhang).

Eine Analyse von CrowdStrike fanden heraus, dass Hades im Wesentlichen eine kompilierte 64-Bit-Variante von WastedLocker ist, identifizierte jedoch mehrere Hauptunterschiede zwischen diesen beiden Malware-Bedrohungen.

Im Gegensatz zu WastedLocker hinterlässt Hades beispielsweise keine Lösegeldforderung für jede verschlüsselte Datei – es erstellt eine einzelne Lösegeldforderung. Und es speichert die Schlüsselinformationen in verschlüsselten Dateien, anstatt sie in der Lösegeldforderung zu speichern.

Die Hades-Variante hinterlässt keine Kontaktinformationen; Stattdessen leitet es die Opfer zu einer Tor-Site, die für jedes Ziel angepasst ist. Die Tor-Site ermöglicht es dem Opfer, eine Datei kostenlos zu entschlüsseln, was für Evil Corp offensichtlich eine Möglichkeit ist, zu demonstrieren, dass seine Entschlüsselungstools tatsächlich funktionieren.

Hades hat in erster Linie große Unternehmen mit Sitz in den USA mit einem Jahresumsatz von über 1. ins Visier genommen Milliarden, und sein Einsatz war ein weiterer kreativer Versuch von Evil Corp, ein Rebranding zu machen und auszuweichen Sanktionen.

So schützen Sie sich vor WastedLocker

Mit zunehmenden Cyberangriffen investieren Sie in Ransomware-Schutztools ist ein absolutes Muss. Außerdem ist es zwingend erforderlich, die Software auf allen Geräten auf dem neuesten Stand zu halten, um zu verhindern, dass Cyberkriminelle bekannte Schwachstellen ausnutzen.

Ausgeklügelte Ransomware-Varianten wie WastedLocker und Hades können sich seitlich bewegen, was bedeutet, dass sie auf alle Daten in einem Netzwerk zugreifen können, einschließlich Cloud-Speicher. Aus diesem Grund ist die Aufrechterhaltung eines Offline-Backups der beste Weg, um wichtige Daten vor Eindringlingen zu schützen.

Da Mitarbeiter die häufigste Ursache für Sicherheitsverletzungen sind, sollten Unternehmen Zeit und Ressourcen investieren, um Mitarbeiter in grundlegenden Sicherheitspraktiken zu schulen.

Letztendlich ist die Implementierung eines Zero-Trust-Sicherheitsmodells wohl der beste Weg, um ein Unternehmen zu gewährleisten ist gegen Cyberangriffe geschützt, einschließlich solcher, die von Evil Corp und anderen staatlich geförderten Hackern durchgeführt werden Gruppen.

Was ist ein Zero-Trust-Netzwerk und wie schützt es Ihre Daten?

Möchten Sie Ihr Unternehmen vor Cyberkriminellen schützen? VPNs sind großartig, aber sie sind möglicherweise nicht so effektiv wie ZTNs mit softwaredefinierten Perimetern.

Weiter lesen

Über den Autor