WastedLocker: Eine komplexe Ransomware-Variante, die auf große Unternehmen abzielt
Ransomware ist eine Art bösartiger Software, die entwickelt wurde, um Dateien auf einem Computer oder einem System zu sperren, bis ein Lösegeld gezahlt wird. Eine der ersten jemals dokumentierten Ransomwares war der PC Cyborg von 1989 – er verlangte eine magere Lösegeldzahlung von 189 US-Dollar, um gesperrte Dateien zu entschlüsseln.
Die Computertechnologie hat seit 1989 einen langen Weg zurückgelegt, und Ransomware hat sich mit ihr entwickelt, was zu komplexen und potenten Varianten wie WastedLocker führte. Wie funktioniert WastedLocker? Wer ist davon betroffen? Und wie können Sie Ihre Geräte schützen?
Was ist WastedLocker und wie funktioniert es?
WastedLocker wurde erstmals Anfang 2020 entdeckt und wird von der berüchtigten Hackergruppe Evil Corp betrieben , die auch als INDRIK SPIDER oder Dridex-Gang bekannt ist und höchstwahrscheinlich Verbindungen zu russischen Geheimdiensten hat.
Das Office of Foreign Assets Control des US-Finanzministeriums hat 2019 Sanktionen gegen Evil Corp verhängt und das Justizministerium hat seinen mutmaßlichen Führer Maksim Yakubets angeklagt, was die Gruppe zu einer Änderung der Taktik gezwungen hat.
WastedLocker-Angriffe beginnen in der Regel mit SocGholish, einem Remote-Access-Trojaner (RAT), der Browser- und Flash-Updates nachahmt, um das Ziel dazu zu bringen, bösartige Dateien herunterzuladen.
Sobald das Ziel das gefälschte Update herunterlädt, verschlüsselt WastedLocker effektiv alle Dateien auf seinem Computer und hängt sie mit "verschwendet" an, was eine Anspielung auf Internet-Memes zu sein scheint, die von der Grand Theft Auto-Videospielserie inspiriert wurden.
So würde beispielsweise eine Datei mit dem ursprünglichen Namen "muo.docx" auf einem kompromittierten Computer als "muo.docx.wasted" angezeigt.
Um Dateien zu sperren, verwendet WastedLocker eine Kombination aus den Verschlüsselungsalgorithmen Advanced Encryption Standard (AES) und Rivest-Shamir-Adleman (RSA), was eine Entschlüsselung ohne den privaten Schlüssel von Evil Corp praktisch unmöglich macht.
Der AES-Verschlüsselungsalgorithmus wird von Finanzinstituten und Regierungen verwendet – die National Security Agency (NSA) beispielsweise verwendet ihn, um streng geheime Informationen zu schützen.
Benannt nach drei Wissenschaftlern des Massachusetts Institute of Technology (MIT), die ihn erstmals in den 1970er Jahren öffentlich beschrieben haben, ist der RSA-Verschlüsselungsalgorithmus erheblich langsamer als AES und wird hauptsächlich zum Verschlüsseln kleiner Datenmengen verwendet.
WastedLocker hinterlässt für jede verschlüsselte Datei eine Lösegeldforderung und weist das Opfer an, die Angreifer zu kontaktieren. Die Nachricht enthält normalerweise eine Protonmail-, Eclipso- oder Tutanota-E-Mail-Adresse.
Die Lösegeldforderungen sind in der Regel individualisiert, nennen die Zielorganisation namentlich und warnen davor, sich an die Behörden zu wenden oder die Kontakt-E-Mails an Dritte weiterzugeben.
Die Malware wurde für große Unternehmen entwickelt und verlangt in der Regel Lösegeldzahlungen von bis zu 10 Millionen US-Dollar.
Die hochkarätigen Angriffe von WastedLocker
Im Juni 2020 deckte Symantec 31 WastedLocker-Angriffe auf US-amerikanische Unternehmen auf. Die überwiegende Mehrheit der Zielorganisationen waren große bekannte Namen und 11 waren Fortune-500-Unternehmen.
Die Ransomware zielte auf Unternehmen in verschiedenen Sektoren ab, darunter Fertigung, Informationstechnologie sowie Medien und Telekommunikation.
Evil Corp brach in die Netzwerke der anvisierten Unternehmen ein, aber Symantec gelang es, die Hacker daran zu hindern, WastedLocker einzusetzen und Daten für Lösegeld zu speichern.
Die tatsächliche Gesamtzahl der Angriffe kann viel höher sein, da die Ransomware über Dutzende von beliebten, legitimen Nachrichtenseiten bereitgestellt wurde.
Unnötig zu erwähnen, dass Unternehmen mit einem Wert von mehreren Milliarden Dollar über einen erstklassigen Schutz verfügen, der Bände darüber spricht, wie gefährlich WastedLocker ist.
Im selben Sommer setzte Evil Corp WastedLocker gegen das amerikanische GPS- und Fitness-Tracker-Unternehmen Garmin ein, das einen Jahresumsatz von schätzungsweise über 4 Milliarden US-Dollar erzielt.
Wie das israelische Cybersicherheitsunternehmen Votiro damals feststellte, legte der Angriff Garmin lahm . Es störte viele Dienstleistungen des Unternehmens und hatte sogar Auswirkungen auf Call Center und einige Produktionslinien in Asien.
Berichten zufolge zahlte Garmin ein Lösegeld in Höhe von 10 Millionen US-Dollar, um wieder Zugang zu seinen Systemen zu erhalten. Es dauerte Tage, bis das Unternehmen seine Dienste zum Laufen brachte, was vermutlich zu massiven finanziellen Einbußen führte.
Obwohl Garmin anscheinend der Meinung war, dass die Zahlung des Lösegelds der beste und effizienteste Weg ist, um die Situation zu lösen, ist es wichtig zu beachten, dass man Cyberkriminellen niemals vertrauen sollte – manchmal haben sie keinen Anreiz, nach Erhalt der Lösegeldzahlung einen Entschlüsselungsschlüssel bereitzustellen.
Generell ist es im Falle eines Cyberangriffs am besten, sich sofort an die Behörden zu wenden.
Außerdem verhängen Regierungen auf der ganzen Welt Sanktionen gegen Hackergruppen, und manchmal gelten diese Sanktionen auch für Einzelpersonen, die eine Lösegeldzahlung leisten oder ermöglichen, sodass auch rechtliche Risiken zu berücksichtigen sind.
Was ist Hades Variant Ransomware?
Im Dezember 2020 entdeckten Sicherheitsforscher eine neue Ransomware-Variante namens Hades (nicht zu verwechseln mit dem 2016 Hades Locker, der normalerweise per E-Mail in Form eines MS Word-Anhangs bereitgestellt wird).
Eine Analyse von CrowdStrike ergab, dass Hades im Wesentlichen eine kompilierte 64-Bit-Variante von WastedLocker ist, identifizierte jedoch mehrere Hauptunterschiede zwischen diesen beiden Malware-Bedrohungen.
Im Gegensatz zu WastedLocker hinterlässt Hades beispielsweise keine Lösegeldforderung für jede verschlüsselte Datei – es erstellt eine einzelne Lösegeldforderung. Und es speichert die Schlüsselinformationen in verschlüsselten Dateien, anstatt sie in der Lösegeldforderung zu speichern.
Die Hades-Variante hinterlässt keine Kontaktinformationen; Stattdessen leitet es die Opfer zu einer Tor-Site, die für jedes Ziel angepasst ist. Die Tor-Site ermöglicht es dem Opfer, eine Datei kostenlos zu entschlüsseln, was für Evil Corp offensichtlich eine Möglichkeit ist, zu demonstrieren, dass seine Entschlüsselungstools tatsächlich funktionieren.
Hades hat in erster Linie große Unternehmen mit Sitz in den USA mit einem Jahresumsatz von mehr als 1 Milliarde US-Dollar ins Visier genommen, und sein Einsatz war ein weiterer kreativer Versuch von Evil Corp, sich umzubenennen und Sanktionen zu umgehen.
So schützen Sie sich vor WastedLocker
Angesichts der zunehmenden Cyberangriffe ist die Investition in Ransomware-Schutztools ein absolutes Muss. Außerdem ist es zwingend erforderlich, die Software auf allen Geräten auf dem neuesten Stand zu halten, um zu verhindern, dass Cyberkriminelle bekannte Schwachstellen ausnutzen.
Ausgeklügelte Ransomware-Varianten wie WastedLocker und Hades können sich seitlich bewegen, was bedeutet, dass sie auf alle Daten in einem Netzwerk zugreifen können, einschließlich Cloud-Speicher. Aus diesem Grund ist die Aufrechterhaltung eines Offline-Backups der beste Weg, um wichtige Daten vor Eindringlingen zu schützen.
Da Mitarbeiter die häufigste Ursache für Sicherheitsverletzungen sind, sollten Unternehmen Zeit und Ressourcen investieren, um Mitarbeiter in grundlegenden Sicherheitspraktiken zu schulen.
Letztendlich ist die Implementierung eines Zero-Trust-Sicherheitsmodells wohl der beste Weg, um sicherzustellen, dass ein Unternehmen vor Cyberangriffen geschützt ist, einschließlich solcher, die von Evil Corp und anderen staatlich geförderten Hackergruppen durchgeführt werden.