[datensicherheit.de, 03.07.2019] Kaspersky-Forscher haben eine neue Verschlüsselungs-Ransomware namens „Sodin“ entdeckt [1], die eine kürzlich entdeckte Zero-Day-Windows-Sicherheitslücke ausnutzt, um erhöhte Berechtigungen in einem infizierten System zu erlangen. Des Weiteren nutzt sie die Architektur der Central Processing Unit (CPU), um eine Erkennung zu vermeiden, und benötigt keine Nutzerinteraktion zur Infizierung.

Ransomware ist eine ständige Cyberbedrohung für Privatanwender und Unternehmen

Ransomware, die Geräte oder Daten verschlüsselt oder sperrt und Lösegeld verlangt, ist eine ständige Cyberbedrohung für Privatanwender und Unternehmen. Die meisten Sicherheitslösungen erkennen bekannte Versionen und etablierte Angriffsmethoden. Die Sodin-Ransomware ist allerdings anspruchsvoller und nutzt eine kürzlich entdeckte Zero-Day-Sicherheitslücke in Windows (CVE-2018-8453)  [2] aus, um seine Rechte auf dem betroffenen System auszuweiten.

Malware als Ransomware-as-a-Service (RaaS)

Die Malware scheint Teil eines RaaS-Programms (Ransomware-as-a-Service) zu sein. Die Hintermänner, die den Schädling in Umlauf bringen, können dabei frei entscheiden, wie der Verschlüsseler in Umlauf gebracht werden
soll. Es gibt Anzeichen dafür, dass die Malware über ein Partnerprogramm verbreitet wird. So haben die Malware-Entwickler eine Lücke in der Funktionalität hinterlassen, die es ihnen ermöglicht, Dateien zu entschlüsseln, ohne dass ihre Partner es wissen: eine Art Hauptschlüssel, der nicht den Schlüssel des Partners beziehungsweise Verteilers zur Entschlüsselung benötigt. Damit können die Entwickler Opferdaten entschlüsseln sowie die Verteilung der Ransomware kontrollieren, indem beispielsweise bestimmte Distributoren aus dem Partnerprogramm ausgeschlossen werden und die Malware unbrauchbar gemacht wird.

„Ransomware ist eine sehr beliebte Art von Malware, aber es kommt nicht oft vor, dass wir eine so ausgefeilte und hochentwickelte Version sehen“, erklärt Fedor Sinitsyn, Sicherheitsforscher bei Kaspersky. „Die Verwendung der CPU-Architektur, um unter dem Radar zu fliegen, ist für Verschlüsseler keine gängige Praxis. Wir erwarten einen Anstieg der Angriffe durch Sodin, da die Menge an Ressourcen, die zum Erstellen solcher Malware erforderlich sind, erheblich ist. Diejenigen, die in die Entwicklung der Malware investiert haben, erwarten auf jeden Fall, dass sie sich bezahlt machen.“

Sodin hatte bisher vor allem Opfer im asiatischen Raum im Visier: 17,6 Prozent der Angriffe wurden in Taiwan, 9,8 Prozent in Hongkong und 8,8 Prozent in der Republik Korea entdeckt. Es wurden jedoch auch Angriffe in Europa – darunter auch Deutschland und Italien -, Nordamerika und Lateinamerika beobachtet. Die Ransomware-Notiz, die auf infizierten PCs hinterlassen wird, verlangt von jedem Opfer Bitcoin im Wert von 2.500 US-Dollar für die Entschlüsselung.

Komplexe und hochentwickelte Ransomware

Ransomware erfordert normalerweise eine Form der Interaktion des Nutzers wie das Öffnen eines Anhangs in einer Mail oder das Anklicken eines schädlichen Link. Bei Sodin ist dies anders: Die Angreifer suchten sich anfällige Server und sendeten einen Befehl zum Herunterladen einer schädlichen Datei namens „radm.exe“, wodurch die Ransomware lokal gespeichert und ausgeführt wurde.

Ransomware durch „Heaven’s Gate“-Technik schwer zu erkennen

Sodin nutzt zudem die sogenannte „Heaven’s Gate“-Technik, wodurch die Ransomware schwer zu erkennen ist. Mit dieser Technik kann ein schädliches Programm 64-Bit-Code aus einem laufenden 32-Bit-Prozess ausführen, was keine alltägliche Praxis ist und bei Ransomware nicht häufig vorkommt.

Die Forscher glauben, dass diese in Sodin aus zwei Hauptgründen verwendet wird:

• um die Analyse des Schadcodes zu erschweren. Der Grund: Nicht alle Debugger (Software zur Code-Analyse) unterstützen diese Technik und können sie daher nicht erkennen;
• um der Erkennung durch installierte Sicherheitslösungen zu entgehen. Die Technik wird verwendet, um die emulationsbasierte Erkennung zu umgehen. Hierbei handelt es sich um eine Methode zum Aufdecken zuvor unbekannter Bedrohungen, bei der Code in einer virtuellen Umgebung gestartet wird, die einem realen Computer ähnelt. So soll verdächtiges Verhalten einer Software aufgedeckt werden.

Kaspersky-Sicherheitstipps für Unternehmen

• Die verwendete Software sollte regelmäßig aktualisiert werden. Sicherheitsprodukte mit Funktionen zur Schwachstellenanalyse und zum Patch-Management können dazu beitragen, diese Prozesse zu automatisieren.
• Die Verwendung einer zuverlässigen Sicherheitslösung wie Kaspersky Endpoint Security for Business, die über verhaltensbasierte Erkennungsfunktionen verfügt, schützt vor bekannten und unbekannten Bedrohungen einschließlich Exploits.

Kaspersky-Sicherheitslösungen erkennen die Ransomware als Trojan-Ransom.Win32.Sodin. Die Schwachstelle CVE-2018-8453, die die Ransomware verwendet, wurde von Kaspersky-Technologie entdeckt, als sie von einem Bedrohungsakteur ausgenutzt wurde. Die Forscher glauben, dass die Gruppe FruityArmor dahintersteckt. Die Schwachstelle wurde am 10. Oktober 2018 behoben.

Weitere Informationen zum Thema:

[1] https://securelist.com/sodin-ransomware/91473/
[2] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8453

datensicherheit.de, 17.06.2019
Mutmaßliche Ransomware-Attacke auf Flugzeugbau-Zulieferer

datensicherheit.de, 09.05.2019
Ransomware: Deutschlands Unternehmen und Behörden haben ein neues altes Problem

datensicherheit.de, 08.05.2019
Mehr IT-Bedrohungen durch Ransomware

[datensicherheit.de, 23.09.2018] Das Unternehmen Check Point® Software Technologies Ltd. veröffentlichte kürzlich seinen neuen Global Threat Index für August 2018. Erkennbar ist ein signifikanter Anstieg von Angriffen des Banking-Trojaners Ramnit. Im August 2018 sprang Ramnit auf Platz 6 des Threat Index und ist der am öftesten genutzten Banking-Trojaner. Seit Juni 2018 hat sich der Einsatz von solchen Schädlingen mehr als verdoppelt.

„Dies ist der zweite Sommer in Folge, in dem Kriminelle in zunehmendem Maße Banking-Trojaner einsetzten, um Opfer anzugreifen und schnellen Profit zu machen“, sagt Maya Horowitz, Threat Intelligence Group Manager von Check Point. „Trends wie diese sollte man nicht ignorieren, denn Hacker sind sich sehr wohl bewusst, welche Angriffsvektoren zu einem bestimmten Zeitpunkt mit großer Wahrscheinlichkeit erfolgreich sind. Das lässt vermuten, dass Internet-Nutzer durch ihre Surf-Gewohnheiten in den Sommermonaten für Banking-Trojaner anfälliger sind, und verdeutlicht außerdem, dass böswillige Hacker bei ihren Versuchen, Geld zu erpressen, hartnäckig und raffiniert sind.“

Im August 2018 bleibt der Cryptominer Coinhive, von der 17 Prozent der Organisationen weltweit betroffen sind, die am häufigsten auftretende Malware. Dorkbot und Andromeda liegen auf Platz zwei bzw. drei, jeweils mit einem weltweiten Anteil von 6 Prozent.

Die Top 3 der „Most Wanted“ Malware im August 2018:

*Die Pfeile beziehen sich auf die Veränderung in der Rangliste verglichen mit dem Vormonat.

1. Coinhive: Cryptominer, der entwickelt wurde, um die Kryptowährung Monero zu schürfen, sobald ein Nutzer eine bestimmte Internetseite besucht. Das eingebettete JavaScript nutzt einen Großteil der Rechnerressourcen von Maschinen der Endnutzer, um Münzen zu schürfen und könnte für einen Systemausfall sorgen.
2. ↑ Dorkbot: IRC-basierter Wurm, der Remote-Code-Ausführung durch seinen Betreiber, sowie den Download zusätzlicher Malware auf das infizierte System zulassen soll. Es handelt sich um einen Banking-Trojaner, mit der primären Motivation sensible Daten zu stehlen und Denial-of-Service-Angriffe zu starten.
3. ↑ Andromeda: Modulares Botnetz, das hauptsächlich als Backdoor genutzt wird, um weitere Malware auf infizierten Hosts zu installieren. Andromeda kann modifiziert werden, um verschiedene Botnetz-Typen zu kreieren.

Check Point-Forscher analysierten auch die am häufigsten ausgenutzten Cybersicherheitslücken. An erster Stelle stand CVE-2017-7269, mit weltweiten Auswirkungen von 47 Prozent. An zweiter Stelle lag OpenSSL TLS DTLS Heartbeat Information Disclosure, von der weltweit 41 Prozent betroffen waren, gefolgt von CVE-2017-5638, die global 36 Prozent aller Organisationen kompromittierte.

Die Top 3 der „Most Exploited“ Schwachstellen im August: 

1.  Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269): Ein Angreifer könnte per Fernzugriff durch Versenden einer manuellen Anfrage über ein Netzwerk an den Microsoft Windows Server 2003 R2 mithilfe der Microsoft Internet Information Services 6.0 einen beliebigen Code ausführen oder auf dem Zielserver eine Denial-of-Service-Situation herbeiführen. Dies ist hauptsächlich auf eine Sicherheitslücke im Pufferüberlauf zurückzuführen, die durch ungenaue Validierung eines langen Headers in der http-Abfrage entstanden ist.
2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346): In OpenSSL besteht eine Sicherheitslücke bei der Offenlegung von Informationen. Die Schwachstelle existiert aufgrund eines Fehlers im Umgang mit TLS/DTLS-Heartbeat-Paketen. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um Speicherinhalte eines vernetzten Clients oder Servers offenzulegen.
3. ↑ D-Link DSL-2750B Remote Command Execution: In D-Link DSL-2750B Routern wurde eine Remote-Code-Execution-Lücke gemeldet. Die erfolgreiche Ausnutzung könnte auf dem betroffenen System zur Ausführung von beliebigem Code führen.

Check Points Global Threat Impact Index und seine ThreatCloud Map, werden von Check Points ThreatCloud Intelligence betrieben. Es ist das größte Kooperationsnetzwerk zur Bekämpfung von Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem weltumspannenden Netz von Bedrohungssensoren liefert. Die Threat-Cloud-Datenbank enthält über 250 Millionen auf Bot-Erkennung untersuchte Adressen, über 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Webseiten. Täglich identifiziert sie Millionen Arten von Malware.

Weitere Informationen zum Thema:

Check Point Blog
Liste der Top-10 Malware-Familien im August 2018

datensicherheit.de, 21.09.2018
Banktrojaner DanaBot mit modularer Architektur in Europa aktiv

datensicherheit.de, 10.08.2018
Banking-Trojaner halten Spitzenplatz im zweiten Quartal 2018

datensicherheit.de, 19.07.2018
Im Juni 2018 50 Prozent mehr Banking-Trojaner unter Bedrohungsakteuren

datensicherheit.de, 11.06.2018
Wandel der Bedrohungslage: Bankentrojaner vor Ransomware