Symantec Forscher haben kürzlich einen Sodinokibi/REvil Ransomware Angriff entdeckt. Manche der infizierten Netzwerke werden dabei nach Point-of-Sale Systeme (POS, Kassen- und Bezahlsysteme von Geschäften) gescannt. Was dahinter steckt, ist den Forschern nicht noch nicht klar. In ihrem Blogpost vom 23. Juni erläutern sie ihre Forschungsergebnisse.

Ransomware wird gewöhnlich eingesetzt, um die Daten der Opfer zu verschlüsseln und Lösegeld zu erpressen. Doch es erscheint den Forschern so, als wollten die Cyber-Kriminellen bei ihrem Angriff noch etwas dazu verdienen. Denn neben Lösegeldsumme von 50.000 US-Dollar, suchen sie noch nach anderen Daten. Die acht der von Symantec identifizierten Opfer kommen aus der Dienstleistungs-, Lebensmittel- und Gesundheitsbranche. Drei der Opfer waren finanziell sehr gut aufgestellte Unternehmen. Lediglich die Ziele aus der Gesundheitsbranche waren kleinere Firmen und eher nicht so flüssig. Genau diese Firmen wurden nach POS-Systemen gescannt. Die Forscher schließen daher darauf, dass die Angreifer wohl einen Plan B hatten, falls ihre Opfer nicht zahlen könnten.

Der Sodinokibi/REvil Angriff

Beim Angriff wurde die Cobalt Strike-Malware eingesetzt. Sie infizierte Systeme von drei der acht Opfer mit Sodinokibi/REvil Ransomware. Im Fall der anderen fünf Opfer konnten die Forscher nur die Cobalt Strike-Malware finden.

Bei der Cobalt Strike Malware handelt es sich um ein gängiges Tool. Damit wird Shellcode auf kompromittierte Systeme geladen. Viele IT-Penetrationstester verwenden es ganz legitim als Pen-Test-Tool. Ebenso verwenden Cyberkriminelle es auch, um anfällige Netzwerkgeräte anzugreifen oder Brute-Force-Angriffe auf RDP-Server durchzuführen.

Nach dem sie ihre Opfer infiziert hatten, nutzten sie andere Tools, um ihre Entdeckung zu vermeiden. Unter diesen wiederum legitimen Werkzeugen waren das Remote-Admin-Client-Tool von NetSupport und ein Windows-Befehlszeilentool. Laut dem Bericht der Forscher verwendeten die Angreifer den Code-Hosting-Dienst Pastebin, um ihre Malware zu hosten. Außerdem wurde der CloudFront-Dienst von Amazon für ihre C&C-Infrastruktur genutzt, um mit den Computern der Opfer zu kommunizieren. Der Hintergrund von der Nutzung von legitimen Diensten ist, dass  der dadurch erzeugte Datenverkehr weniger auffällig ist und daher weniger wahrscheinlich als verdächtig gekennzeichnet und blockiert wird.

Mit Cobalt Strike wurde gezielt nach Anmeldeinformationen gesucht. Dafür erstellten die Angreifer eigene gefälschte Benutzerkonten. Die IT-Sicherheitsforscher erkennen das als ein Zeichen, dass sie sich in den Systemen einnisten und nicht auffallen wollten. Diese Vorgehensweise ist nicht neu. Microsoft hatte im April Daten zu sechs anderen ähnlichen Angriffen veröffentlicht, die das belegen.

Die Sodinokibi/REvil Malware

Die Sodinokibi Ransomware wird ganz gezielt für Lösegeld-Angriffe eingesetzt. Laut Symantec konnte 2019 einen Anstieg solcher Angriffe von 62 Prozent festgestellt werden. Das macht sie zu eine der größten Bedrohungen in der IT-Sicherheitslandschaft. Sodinokibo, auch als REvil bekannt, gibt es schon seit etwa April 2019. Zunächst gingen die Experten davon aus, dass Sodinokibi von einer Hackergruppe betrieben wurde. Mittlerweile geht man aber davon aus, dass es sich um einen Ransomware-as-a-Service handelt. Der Schadcode wird dabei an andere vermietet. Die Angreifer sind mit Sodinokibi Ransomware äußerst erfolgreich. Die durchschnittliche Lösegeldforderung mit Sodinokibi liegt bei circa 260.000 US-Dollar. Hinter dieser effektiven Ransomware stecken aber äußerst versierte Angreifer. Experten gehen davon aus, dass diese Bedrohung in absehbarer Zeit nicht abnehmen wird.

Lösegeldforderung der Sodinokibi Angreifer

Der Symantec Bericht zeigt einen Screenshot der Lösegeldforderung, die Opfer erhielt. Die Notiz ist sehr gut aufgearbeitet und erklärt exakt, was zu tun ist und was die Freischaltung kostet. Im Prinzip sieht sie aus wie eine Anweisung für ein neu gekauftes Softwareprogramm. Opfern wird sehr strukturiert erklärt was sie tun müssen, um ihre Systeme zurückzuerhalten. Wie sie entschlüsselt werden, wie der benötigte General Entschlüsselungscode gekauft werden kann, usw.

Druck üben die Angreifer auch aus auf ihre Opfer. Wer sich schnell zur Zahlung entscheidet, zahlt weniger. Nach drei Tagen verdoppelt sich die Lösegeldsumme. Zur Erinnerung läuft in roten Ziffern ein Countdown herunter. Exakt erklärt werden auch die Zahlungsmöglichkeiten und wie die Opfer an die Monero Kryptowährung kaufen können.

Der SANS IT-Experte Lee Neely kommentierte den Symantec-Blogpost als einen guten Einblick in die Vorgehensweise der Verteilung, Kontrolle und Ausbeutung der Opfer. Gleichzeitig deuten die Informationen auch auf Abhilfemaßnahmen hin, welche die Erfolgschancen Sodinokibi/REvil eindämmen können. Schutzmaßnahmen seien wichtig, so Neely, da die Angreifer zuerst Daten abgreifen und sichern als Druckmittel zur Zahlung der Lösegeldsumme. Laut Neely seien kompromittierte Kreditkartendaten in ausreichender Menge nach wie vor eine marktfähige Ware, unabhängig von irgendwelchen geschäftsspezifischen Daten.

Artikel von symantec-enterprise-blogs.security.com, 23.06.2020: Sodinokibi: Ransomware Attackers also Scanning for PoS Software, Leveraging Cobalt Strike
Artikel von bleepingcomputer.com, 23.06.2020: REvil ransomware scans victim’s network for Point of Sale systems
Artikel von threatpost.com, 23.06.2020: Sodinokibi Ransomware Now Scans Networks For PoS Systems

Beitragsbild: Public Domain, Creative Commons CC0, 251206 über pixabay.com.