RanRan: Gezielte Ransomware-Angriffe im Nahen Osten

Palo Alto Networks vermutet politische Motive der Cyber-Attacken auf Regierungsbehörden

[datensicherheit.de, 09.03.2017] Nach einer Meldung von Palo Alto Networks hat deren Forschungsabteilung „Unit 42“ Cyber-Angriffe gegen mehrere Regierungsbehörden im Nahen Osten beobachtet, bei denen eine bislang noch nicht beobachtete Ransomware-Familie verwendet wurde. Basierend auf den eingebetteten Strings innerhalb der Malware sei diese Malware „RanRan“ genannt worden.

Offensichtlich soll politische Aussage erpresst werden

Die spezifische, von dieser Malware gelieferte Lösegeldforderung und das kleine Sample-Set dieser Malware-Familie deuteten auf gezielte, maßgeschneiderte Angriffe hin. Die Analyse zeige allerdings keinerlei Verbindungen zu den jüngsten Wellen von „Shamoon-2“-Angriffen.
Der Hauptzweck von „RanRan“ sei es, Dateien auf dem System zu verschlüsseln und ein Lösegeld vom Opfer anzufordern, um diese Dateien wiederherzustellen. Im Gegensatz zu vielen anderen bekannten Ransomware-Familien verlange „RanRan“ aber nicht eine sofortige Zahlung, sondern versuche, eine politische Aussage zu erpressen.

Bekenntnis abgeben, gehackt worden zu sein

Vor einer Verhandlung über die Zahlung sollten die betroffenen Regierungsinstitutionen im Nahen Osten eine Subdomain mit dem Namen eines umstrittenen Politikers sowie einer Ransomware.txt-Datei erstellen.
Die gehostete Datei müsse den Hinweis „Hacked“ und eine E-Mail-Adresse enthalten. Die jeweilige Opfer-Institution müsse zudem eine politische Erklärung gegen das Staatsoberhaupt erstellen sowie durch das Hosting der Ransomware.txt-Datei öffentlich bekannt geben, dass sie gehackt worden sei.

Chancen für Ransomware-Befall sollen erhöht werden

„RanRan“ suche unter anderem nach „Microsoft Office“-Dateien, „Adobe Acrobat“-Dateien, Bildern, Webseiten, SQL-Abfragen sowie Archiv- und Backup-Dateien. Darüber hinaus überwache diese Malware ständig einige Microsoft- und Oracle-Dienste und -Prozesse, um sie regelmäßig zu unterbrechen.
Die „Unit 42“ sieht es als wahrscheinlich an, dass der Autor diese Dienste und Prozesse stoppen will, um die Chancen für die Ransomware zu erhöhen, entsprechende Datenbankdateien zu verschlüsseln, indem der Zugriff auf diese Dateien beschränkt wird.

„Hacktivism“-Ansatz

Die Malware selbst sei dennoch „ziemlich rudimentär“. So werde sowohl eine symmetrische Chiffre als auch ein öffentlich zugänglicher Code verwendet. Zudem mache der Akteur eine Reihe von Fehlern bei der Verschlüsselung von Dateien. Dies habe es der „Unit 42“ erlaubt, ein Skript zu erstellen, das in der Lage sei, einige der von „RanRan“ verschlüsselten Dateien wieder zu entschlüsseln.
Andere Indikatoren, wie etwa innerhalb der Malware gefundene Debug-Anweisungen, lieferten auch weitere Beweise für diese Vermutung.
Insgesamt stelle „RanRan“ eine „interessante Variante der klassischen Ransomware-Taktik“ dar – anstatt rein finanziell motiviert zu sein, verfolge dieser Akteur einen „Hacktivism“-Ansatz, indem er eine negative öffentliche Erklärung gegen ein Staatsoberhaupt erzwingen wolle.

Weitere Informationen zum Thema:

paloalto NETWORKS, 08.03.2017
Targeted Ransomware Attacks Middle Eastern Government Organizations for Political Purposes

datensicherheit.de, 21.10.2016
Sarvdap: Palo Alto Networks meldet Entdeckung eines cleveren Spam-Bots

datensicherheit.de, 24.08.2016
Palo Alto Networks: Antivirus-Lösungen für Endpoints in Behörden überfordert