Cactus Ransomware: Der stachelige Eindringling in Unternehmensnetzwerken
Eine neue Ransomware-Gruppe namens Cactus hat eine raffinierte Angriffsmethode entwickelt. Sie nutzt die legitime Software ToyMaker, um sich in Unternehmensnetzwerke einzuschleusen. Die Malware tarnt sich dabei als Windows-Update und verschlüsselt systematisch wichtige Unternehmensdaten.
ToyMaker wird mit mittlerer Wahrscheinlichkeit als finanzmotivierter Bedrohungsakteur eingestuft. Seine Strategie besteht darin, gezielt nach verwundbaren Systemen zu suchen und anschließend eine speziell entwickelte Schadsoftware namens LAGTOY – auch bekannt unter dem Namen HOLERUN – einzusetzen.
„LAGTOY ermöglicht es Angreifern, Reverse Shells einzurichten und Befehle auf infizierten Endpunkten auszuführen“, berichten die Sicherheitsexperten Joey Chen, Asheer Malhotra, Ashley Shen, Vitor Ventura und Brandon White von Cisco Talos.
Die Schadsoftware LAGTOY wurde erstmals Ende März 2023 von Mandiant, einer Tochtergesellschaft von Google, entdeckt. Mandiant ordnet diese Aktivitäten einer Bedrohungsgruppe zu, die unter den Namen UNC961, Gold Melody und Prophet Spider bekannt ist.
Angriffsmuster von ToyMaker
ToyMaker nutzt ein umfangreiches Arsenal bekannter Sicherheitslücken in öffentlich zugänglichen Anwendungen, um sich den Erstzugang zu Systemen zu verschaffen. Innerhalb weniger Tage folgen darauf:
- die Erkundung des Netzwerks (Reconnaissance)
- das Sammeln von Zugangsdaten
- die Bereitstellung von LAGTOY auf den kompromittierten Systemen
Im weiteren Verlauf öffnen die Angreifer SSH-Verbindungen zu entfernten Servern, um forensische Werkzeuge wie Magnet RAM Capture herunterzuladen. Ziel dieser Maßnahme ist es vermutlich, ein Speicherabbild (Memory Dump) der Maschine zu erstellen, um weitere Anmeldedaten zu extrahieren.
Funktionsweise der LAGTOY-Malware
LAGTOY verbindet sich mit einem fest codierten Command-and-Control-Server (C2-Server), von dem es Befehle entgegennimmt und auf dem infizierten Endpunkt ausführt. Die Schadsoftware ist in der Lage, Prozesse im Namen bestimmter Benutzerkonten mit den jeweiligen Berechtigungen zu starten und zu steuern.
Zusätzlich kann LAGTOY bis zu drei Befehle vom C2-Server verarbeiten, wobei zwischen den einzelnen Anweisungen eine Pause von elf Sekunden liegt. Dadurch eignet sich die Malware sowohl für schnelle, gezielte Eingriffe als auch für längerfristige Steuerungsaufgaben.
Übergabe an die CACTUS-Ransomware-Gruppe
Die Sicherheitsexperten von Cisco Talos beobachteten zunächst eine Phase rund dreiwöchiger Inaktivität, nach der die CACTUS-Ransomware-Gruppe den von ToyMaker vorbereiteten Zugang nutzte, um in das Netzwerk eines Opfers einzudringen. Da die Angreifer nur eine kurze Zeit im System verweilten, zunächst keine Daten entwendeten und den Zugang schnell an CACTUS übergaben, gehen die Beobachter davon aus, dass ToyMaker keine nachrichtendienstlichen Interessen verfolgte, sondern ausschließlich finanzielle Motive hatte.
Im weiteren Verlauf führten die CACTUS-Angreifer eigene Aktivitäten zur Netzwerkerkundung und dauerhaften Verankerung durch, bevor sie Daten exfiltrierten und verschlüsselten. Sie nutzten dabei verschiedene Werkzeuge, um den langfristigen Zugriff auf die kompromittierten Systeme sicherzustellen, darunter:
- OpenSSH
- AnyDesk
- eHorus Agent
ToyMaker agiert also als typischer finanziell motivierter Initial Access Broker: Er verschafft sich Zugang zu hochkarätigen Zielorganisationen und übergibt diesen Zugang anschließend an sekundäre Bedrohungsakteure. Diese monetarisieren den Zugang durch doppelte Erpressung und den Einsatz von Ransomware.