Ransomware mit Teilverschlüsselung

Katzen tarnen sich gut: Die Sicherheitsforscher von SentinelLabs, der Forschungsabteilung von SentinelOne, beobachten einen neuen Trend in der Ransomware-Szene: die intermittierende Verschlüsselung oder die teilweise Verschlüsselung der Dateien der Opfer. Diese Verschlüsselungsmethode hilft Ransomware-Hackern, Erkennungssysteme zu umgehen und die Dateien der Opfer schneller zu verschlüsseln. Es wird deutlich, dass die Hacker diese Funktion zunehmend übernehmen und intensiv für die intermittierende Verschlüsselung werben, um Käufer oder Partner anzulocken.

Die intermittierende Verschlüsselung bietet Ransomware-Erpressern zwei wesentliche Vorteile:

1. Geschwindigkeit: Die Verschlüsselung kann ein zeitintensiver Prozess sein, und Zeit ist für Ransomware-Betreiber entscheidend – je schneller sie die Dateien der Opfer verschlüsseln, desto unwahrscheinlicher ist es, dass sie dabei entdeckt und gestoppt werden. Eine intermittierende Verschlüsselung richtet in sehr kurzer Zeit unwiederbringlichen Schaden an.
2. Umgehung: Ransomware-Erkennungssysteme können statistische Analysen verwenden, um den Einsatz von Ransomware zu erkennen. Eine solche Analyse kann die Intensität von Datei-IO-Operationen oder die Ähnlichkeit zwischen der bekannten Version einer Datei, die nicht von Ransomware betroffen war, und einer mutmaßlich veränderten, verschlüsselten Version der Datei bewerten.

Im Folgenden soll ein Überblick über verschiedene Ransomware-Familien gegeben werden, die bereits Einsatz von intermittierender Verschlüsselung machen:

Qyick

Ende August 2022 beobachteten die Forscher von SentinelLabs einen Benutzer namens lucrostm, der in einem beliebten TOR-basierten Verbrecherforum für eine neue kommerzielle Ransomware namens Qyick warb. Derselbe Benutzer agiert auch als ein etablierter Anbieter anderer bösartiger Tools, darunter Remote-Access-Tools und Malware-Loader. Das Ransomware-Angebot von Qyick ist ein einmaliger Kauf, im Gegensatz zu dem üblichen Abonnement-Modell. Der Preis liegt zwischen 0,2 BTC und etwa 1,5 BTC, je nachdem, welche Anpassungen der Käufer wünscht. Der Käufer erhält eine kompilierte ausführbare Datei mit einer Garantie: Wenn die Ransomware innerhalb von 6 Monaten nach dem Kauf von einer Sicherheitssoftware erkannt wird, stellt der Autor ein neues Muster mit einem Preisnachlass zwischen 60 % und 80 % des ursprünglichen Preises zur Verfügung.

BlackCat (ALPHV)

Die Ransomware BlackCat (oder ALPHV) trat Ende 2021 in Erscheinung und ist die erste bekannte Ransomware, die in der Programmiersprache Rust geschrieben wurde. Die Entwickler hinter BlackCat wurden erstmals Anfang Dezember 2021 in einem russischen Untergrundforum gesichtet, wo sie für ihre Dienste warben.

Die ALPHV-Bedrohungsgruppe betreibt ein Ransomware-as-a-Service (RaaS)-Programm und teilt Lösegeldzahlungen mit Partnern. ALPHV nutzt Bulletproof Hosting zum Hosten ihrer Websites und einen Bitcoin-Mixer zur Anonymisierung von Transaktionen.

Die ALPHV-Bedrohungsgruppe hat schon früh Erpressungsmethoden angewandt, wie z. B. die Bedrohung von Opfern mit DDoS-Angriffen, die Weitergabe von exfiltrierten Daten im Internet sowie die Einschüchterung von Mitarbeitern und Kunden der Opferorganisationen, falls diese kein Lösegeld zahlen. Große Organisationen und Unternehmen waren weltweit das Ziel der BlackCat-Ransomware.

Agenda

Die Ransomware Agenda, die erstmals im August 2022 entdeckt wurde, ist in Go geschrieben und wurde hauptsächlich für Angriffe auf Gesundheits- und Bildungseinrichtungen in Afrika und Asien eingesetzt. Die Ransomware verfügt über einige Anpassungsoptionen, darunter die Änderung der Dateinamenerweiterungen der verschlüsselten Dateien und die Liste der zu beendenden Prozesse und Dienste. Die ALPHV-Bedrohungsgruppe betreibt ein Ransomware-as-a-Service (RaaS)-Programm und teilt Lösegeldzahlungen mit Partnern.

PLAY

PLAY Ransomware ist ein Neueinsteiger in der Szene und wurde erstmals Ende Juni 2022 entdeckt. Die Ransomware hat in letzter Zeit hochkarätige Ziele heimgesucht, wie z. B. den Gerichtshof von Córdoba in Argentinien im August 2022. Der Erpresserbrief von PLAY besteht aus einem einzigen Wort – PLAY – und einer Kontakt-E-Mail-Adresse. Im Gegensatz zu Agenda und BlackCat verfügt die Ransomware PLAY nicht über Verschlüsselungsmodi, die vom Anwender konfiguriert werden können. PLAY führt eine intermittierende Verschlüsselung durch, die sich nach der Größe der zu verschlüsselnden Datei richtet, und verschlüsselt Teile der Datei (Chunks) von 0x100000 Bytes.

Black Basta

Black Basta ist ein RaaS-Programm, das erstmals im April 2022 auftauchte und dessen Ransomware-Samples bis Februar 2022 zurückreichen. Aktuelle Erkenntnisse deuten darauf hin, dass Black Basta aus der zerfallenen Asche der Conti-Operation entstanden ist. Die Ransomware ist in der Programmiersprache C++ geschrieben und unterstützt die Betriebssysteme Windows und Linux. Die Betreiber von Black Basta wenden doppelte Erpressung an und drohen ihren Opfern mit der Veröffentlichung der exfiltrierten Daten auf der TOR-basierten Website Basta News, sollten die Opfer das Lösegeld nicht zahlen.

Fazit

Intermittierende Verschlüsselung stellt ein sehr nützliches Werkzeug für Ransomware-Entwickler dar. Diese Verschlüsselungsmethode hilft dabei, einige Ransomware-Erkennungsmechanismen zu umgehen und die Dateien der Opfer schneller zu verschlüsseln. In Anbetracht der erheblichen Vorteile, für die Bedrohungsakteure, und der praktischen Umsetzung gehen Sicherheitsexperten davon aus, dass die intermittierende Verschlüsselung in Zukunft von immer mehr Ransomware-Familien eingesetzt werden wird.