Research: REvil-Ransomware untersucht

5. Juli 2021
| Keine Kommentare
Sophos News

Beitrag teilen

REvil, auch bekannt als Sodinokibi, ist ein ausgereiftes und weit verbreitetes Ransomware-as-a-Service (RaaS) Angebot. Sophos-Forscher haben die Tools und Verhaltensweisen untersucht, die Angreifer aus ihrer Sicht am häufigsten einsetzen, um einen REvil-Angriff zu implementieren.

Kriminelle Kunden können die Ransomware von den Entwicklern leasen und mit eigenen Parametern versehen auf den Computern ihrer Opfer platzieren. Der jeweilige Ansatz und die Auswirkungen eines Angriffs mit REvil-Ransomware sind somit sehr variabel und hängen von den Tools, Verhaltensweisen, Ressourcen und Fähigkeiten des Angreifers ab, der die Malware mietet.

REvil-Ransomware unter die Haube geschaut

Andrew Brandt, Principal Researcher bei Sophos, sagt: “Für eine gewöhnliche, alltägliche Ransomware, die es erst seit ein paar Jahren gibt, schafft es REvil/Sodinokibi bereits, beträchtlichen Schaden anzurichten und Lösegeldzahlungen in Höhe von mehreren Millionen Dollar zu fordern. Der Erfolg von REvil/Sodinokibi könnte zum Teil auf die Tatsache zurückzuführen sein, dass als Ransomware-as-a-Service-Angebot jeder Angriff anders ist. Das kann es Verteidigern schwer machen, die Warnzeichen zu erkennen, auf die sie achten müssen.“

Im Artikel beschreiben Sophos-Forscher aus den SophosLabs und dem Sophos Rapid Response Team die Tools und Verhaltensweisen, die Angreifer aus ihrer Sicht am häufigsten einsetzen, um einen REvil-Angriff zu implementieren. Ziel des Berichts ist es, Verteidigern einen Einblick zu geben, wie sie einen drohenden oder sich entwickelnden REvil-Ransomware-Angriff erkennen und ihr Unternehmen schützen können.

REvil-Ransomware-Angriffswerkzeuge

  • Brute-Force-Attacken gegen bekannte Internetdienste wie VPN, Remote-Desktop-Protokolle (RDP), Desktop-Remote-Management-Tools wie VNC und sogar einige Cloud-basierte Managementsysteme; Missbrauch von Zugangsdaten, die durch Malware oder Phishing erlangt wurden, oder einfach durch Hinzufügen zu anderer Malware, die sich bereits im Netzwerk des Ziels befindet.
  • Credential Harvesting und Privilegienerweiterung mithilfe von Mimikatz, um die Anmeldedaten eines Domain-Administrators zu erhalten.
  • Schaffung der Voraussetzungen für die Freisetzung der Ransomware durch Deaktivieren oder Löschen von Backups, den Versuch, Sicherheitstechnologien zu deaktivieren und Zielcomputer für die Verschlüsselung zu identifizieren.
  • Hochladen großer Datenmengen zur Exfiltration – obwohl Sophos Forscher dies nur in etwa der Hälfte der untersuchten REvil/Sodonokibi-Vorfälle gesehen haben. In Fällen, die Datendiebstahl beinhalteten, verwendeten etwa Dreiviertel Mega.nz als (temporären) Speicherort für die gestohlenen Daten.
  • Neustart des Computers in den abgesicherten Modus vor der Datenverschlüsselung, um Endpunktschutz-Tools zu umgehen.

Weitere Informationen über REvil/Sodinokibi-Ransomware-Attacken und wie man sich vor ihnen schützen kann, finden sich im Artikel auf SophosLabs Uncut.

Hartnäckigkeit und fremde Federn

Die Angreifer, die REvil-Ransomware einsetzen, können laut den Ergebnissen von Sophos Rapid Response sehr hartnäckig sein. In einem kürzlich vom Team untersuchten REvil-Angriff zeigten die von einem kompromittierten Server gesammelten Daten ca. 35.000 fehlgeschlagene Anmeldeversuche über einen Zeitraum von fünf Minuten, die von 349 eindeutigen IP-Adressen aus der ganzen Welt stammten. In mindestens zwei REvil-Attacken, die von Sophos-Forschern beobachtet wurden, war der ursprüngliche Zugangspunkt zudem ein Tool, das von einem früheren Ransomware-Angriff eines anderen Angreifers zurückgelassen wurde.

Mehr bei Sophos.com

 

Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.

 

Passende Artikel zum Thema

Report: 40 Prozent mehr Phishing weltweit

Der aktuelle Spam- und Phishing-Report von Kaspersky für das Jahr 2023 spricht eine eindeutige Sprache: Nutzer in Deutschland sind nach ➡ Weiterlesen

BSI legt Mindeststandard für Webbrowser fest

Das BSI hat den Mindeststandard für Webbrowser für die Verwaltung überarbeitet und in der Version 3.0 veröffentlicht. Daran können sich ➡ Weiterlesen

Tarnkappen-Malware zielt auf europäische Unternehmen

Hacker greifen mit Tarnkappen-Malware viele Unternehmen in ganz Europa an. ESET Forscher haben einen dramatischen Anstieg von sogenannten AceCryptor-Angriffen via ➡ Weiterlesen

IT-Security: Grundlage für LockBit 4.0 entschärft

in Zusammenarbeit mit der britischen National Crime Agency (NCA) analysierte Trend Micro die in der Entwicklung befindliche und unveröffentlichte Version ➡ Weiterlesen

MDR und XDR via Google Workspace

Ob im Cafe, Flughafen-Terminal oder im Homeoffice – Mitarbeitende arbeiten an vielen Orten. Diese Entwicklung bringt aber auch Herausforderungen mit ➡ Weiterlesen

Test: Security-Software für Endpoints und Einzel-PCs

Die letzten Testergebnisse aus dem Labor von AV-TEST zeigen eine sehr gute Leistung von 16 etablierten Schutzlösungen für Windows an ➡ Weiterlesen

KI auf Enterprise Storage bekämpft Ransomware in Echtzeit

Als einer der ersten Anbieter integriert NetApp künstliche Intelligenz (KI) und maschinelles Lernen (ML) direkt in den Primärspeicher, um Ransomware ➡ Weiterlesen

FBI: Internet Crime Report zählt 12,5 Milliarden Dollar Schaden 

Das Internet Crime Complaint Center (IC3) des FBI hat seinen Internet Crime Report 2023 veröffentlicht, der Informationen aus über 880.000 ➡ Weiterlesen

Short-News, Sophos
, , , ,