Research: REvil-Ransomware untersucht

Sophos News

Beitrag teilen

REvil, auch bekannt als Sodinokibi, ist ein ausgereiftes und weit verbreitetes Ransomware-as-a-Service (RaaS) Angebot. Sophos-Forscher haben die Tools und Verhaltensweisen untersucht, die Angreifer aus ihrer Sicht am häufigsten einsetzen, um einen REvil-Angriff zu implementieren.

Kriminelle Kunden können die Ransomware von den Entwicklern leasen und mit eigenen Parametern versehen auf den Computern ihrer Opfer platzieren. Der jeweilige Ansatz und die Auswirkungen eines Angriffs mit REvil-Ransomware sind somit sehr variabel und hängen von den Tools, Verhaltensweisen, Ressourcen und Fähigkeiten des Angreifers ab, der die Malware mietet.

Anzeige

REvil-Ransomware unter die Haube geschaut

Andrew Brandt, Principal Researcher bei Sophos, sagt: „Für eine gewöhnliche, alltägliche Ransomware, die es erst seit ein paar Jahren gibt, schafft es REvil/Sodinokibi bereits, beträchtlichen Schaden anzurichten und Lösegeldzahlungen in Höhe von mehreren Millionen Dollar zu fordern. Der Erfolg von REvil/Sodinokibi könnte zum Teil auf die Tatsache zurückzuführen sein, dass als Ransomware-as-a-Service-Angebot jeder Angriff anders ist. Das kann es Verteidigern schwer machen, die Warnzeichen zu erkennen, auf die sie achten müssen.“

Im Artikel beschreiben Sophos-Forscher aus den SophosLabs und dem Sophos Rapid Response Team die Tools und Verhaltensweisen, die Angreifer aus ihrer Sicht am häufigsten einsetzen, um einen REvil-Angriff zu implementieren. Ziel des Berichts ist es, Verteidigern einen Einblick zu geben, wie sie einen drohenden oder sich entwickelnden REvil-Ransomware-Angriff erkennen und ihr Unternehmen schützen können.

REvil-Ransomware-Angriffswerkzeuge

  • Brute-Force-Attacken gegen bekannte Internetdienste wie VPN, Remote-Desktop-Protokolle (RDP), Desktop-Remote-Management-Tools wie VNC und sogar einige Cloud-basierte Managementsysteme; Missbrauch von Zugangsdaten, die durch Malware oder Phishing erlangt wurden, oder einfach durch Hinzufügen zu anderer Malware, die sich bereits im Netzwerk des Ziels befindet.
  • Credential Harvesting und Privilegienerweiterung mithilfe von Mimikatz, um die Anmeldedaten eines Domain-Administrators zu erhalten.
  • Schaffung der Voraussetzungen für die Freisetzung der Ransomware durch Deaktivieren oder Löschen von Backups, den Versuch, Sicherheitstechnologien zu deaktivieren und Zielcomputer für die Verschlüsselung zu identifizieren.
  • Hochladen großer Datenmengen zur Exfiltration – obwohl Sophos Forscher dies nur in etwa der Hälfte der untersuchten REvil/Sodonokibi-Vorfälle gesehen haben. In Fällen, die Datendiebstahl beinhalteten, verwendeten etwa Dreiviertel Mega.nz als (temporären) Speicherort für die gestohlenen Daten.
  • Neustart des Computers in den abgesicherten Modus vor der Datenverschlüsselung, um Endpunktschutz-Tools zu umgehen.

Weitere Informationen über REvil/Sodinokibi-Ransomware-Attacken und wie man sich vor ihnen schützen kann, finden sich im Artikel auf SophosLabs Uncut.

Hartnäckigkeit und fremde Federn

Die Angreifer, die REvil-Ransomware einsetzen, können laut den Ergebnissen von Sophos Rapid Response sehr hartnäckig sein. In einem kürzlich vom Team untersuchten REvil-Angriff zeigten die von einem kompromittierten Server gesammelten Daten ca. 35.000 fehlgeschlagene Anmeldeversuche über einen Zeitraum von fünf Minuten, die von 349 eindeutigen IP-Adressen aus der ganzen Welt stammten. In mindestens zwei REvil-Attacken, die von Sophos-Forschern beobachtet wurden, war der ursprüngliche Zugangspunkt zudem ein Tool, das von einem früheren Ransomware-Angriff eines anderen Angreifers zurückgelassen wurde.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

ePA – Elektronische Patientenakte mit Sicherheitslücken?

Am 15. Januar startete die Testphase der ePA - der elektronischen Patientenakte trotz vorliegender Berichte über mögliche Sicherheitslücken. Es ist ➡ Weiterlesen

FortiOS und FortiProxy: Angriffe auf Zero-Day-Schwachstelle

Das BSI hat bereits die zweithöchste Warnstufe Orange für die aktiv ausgenutzten Schwachstellen in FortiOS und FortiProxy ausgegeben. Die Zero-Day-Schwachstelle ➡ Weiterlesen

Sicherheitsrisiken durch Mitarbeiterverhalten

Eine neue Untersuchung zeigt, dass Unternehmen den Datenzugang von Arbeitnehmern nicht nur verwalten, sondern auch sichern müssen. Der Grund: Viele ➡ Weiterlesen

Amazon-S3-Datensätze einfach zurücksetzen

Mit der neuen Funktionalität Clumio Backtrack von Commvault können Unternehmen in Amazon Simple Storage Service (Amazon S3) gespeicherte Objekte oder ➡ Weiterlesen

BSI: Kritische 9.3 Schwachstelle in PaloAlto Networks Expedition

Das BSI warnt eindringlich vor einer kritischen Schwachstelle in Next-Generation-Firewall (NGFW)-Plattform PaloAlto Networks Expedition mit dem CVSS-Wert 9.3 von 10. ➡ Weiterlesen

Hochgefährliche Schwachstellen in Firefox und Thunderbird 

Mozilla hat am 7. Januar 2025 mehrere Sicherheitsupdates für Firefox und Thunderbird veröffentlicht, um Schwachstellen mit hoher Priorität zu beheben. ➡ Weiterlesen

Ransomware-Angriff auf Fraunhofer-Institut

Ein Ransomware-Angriffe hat bereits am 27. Dezember 2024 das Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO in Stuttgart getroffen. Das Institut ➡ Weiterlesen

Prognosen für 2025

Die Cybersecurity-Landschaft entwickelt sich mit atemberaubender Geschwindigkeit. Für 2025 zeichnen sich bereits heute einige kritische Entwicklungen ab, die besonders Unternehmen ➡ Weiterlesen