Bedrohung für Unternehmensnetzwerke : Neue Ymir-Ransomware nutzt Speicherangriffe auf Firmen
Die neue Ymir-Ransomware hat gezielt Unternehmensnetzwerke mit speicherbasierten Angriffen attackiert. In Kombination mit der RustyStealer-Malware verschärfen sich die Risiken für Firmen, da eine doppelte Bedrohung aus Datendiebstahl und Verschlüsselung im Spiel ist.
„Die Ransomware Ymir vereint besondere technische Funktionen und Taktiken, die ihre Wirksamkeit erhöhen“, so der russische Cybersicherheitsanbieter Kaspersky. „Die Angreifer nutzen eine ungewöhnliche Kombination von Speicherfunktionen, um den Schadcode direkt im Speicher auszuführen. Diese Methode unterscheidet sich vom herkömmlichen Ablauf, der bei vielen anderen Ransomware-Arten genutzt wird, und ermöglicht es Ymir, länger unbemerkt zu bleiben.“
Kaspersky berichtet, dass Ymir bei einem Cyberangriff auf eine nicht namentlich genannte Organisation in Kolumbien eingesetzt wurde. Zuvor hatten die Angreifer die Schadsoftware RustyStealer verwendet, um an Zugangsdaten des Unternehmens zu gelangen und sich darüber unerlaubt ins Netzwerk einzuloggen. Ob dabei eine Zusammenarbeit zwischen verschiedenen Angreifergruppen stattgefunden hat, bleibt unklar.
Falls die Angreifer, die RustyStealer eingesetzt haben, auch die Ransomware direkt verbreitet haben, könnte dies ein neuer Trend sein. So müssten sie nicht auf externe Ransomware-Dienstleister (sogenannte Ransomware-as-a-Service-Gruppen) zurückgreifen und könnten komplett eigenständig handeln, betont Kaspersky-Forscher Cristian Souza.
Der Angriff war zudem gekennzeichnet durch den Einsatz von Programmen wie Advanced IP Scanner und Process Hacker, mit denen die Angreifer das Netzwerk vorab analysierten. Außerdem nutzten sie Skripte, die zur Malware SystemBC gehören, um eine verdeckte Verbindung zu einer externen IP-Adresse aufzubauen. Über diese Verbindung wurden bestimmte Dateien – insbesondere solche, die nach einem bestimmten Datum erstellt wurden und größer als 40 KByte sind – nach außen übertragen.
Ymir verschlüsselt die Dateien mit dem ChaCha20-Verschlüsselungsalgorithmus und hängt der Datei die Endung 6C5oy2dVr6 an. Die Ransomware ist zudem flexibel: Angreifer können mithilfe eines Befehls gezielt ein Verzeichnis auswählen, in dem nach Dateien gesucht wird. Dateien, die auf einer internen „Whitelist“ stehen, werden dabei ausgelassen. Dies gibt den Angreifern mehr Kontrolle darüber, welche Daten verschlüsselt werden und welche nicht.
Verbesserte Angriffe nehmen auch bei anderen Tätergruppen rasch zu
Gleichzeitig wurde beobachtet, wie die Angreifer hinter der Black-Basta-Ransomware Microsoft-Teams-Nachrichten verwenden, um potenzielle Opfer direkt anzusprechen. Dabei fügen sie schädliche QR-Codes ein, welche die Empfänger auf eine gefälschte Website weiterleiten, um so leichter ersten Zugang zu deren Systemen zu erhalten.
Die Angreifer wollen vermutlich eine Grundlage für weitere Social-Engineering-Techniken schaffen, um Nutzer dazu zu bringen, Remote-Überwachungs- und Management-Tools (RMM) herunterzuladen und so einen ersten Zugang zum Zielsystem zu erhalten, erklärt ReliaQuest. Ihr Endziel ist mit großer Wahrscheinlichkeit die Verbreitung von Ransomware.
Das Cybersicherheitsunternehmen berichtet auch von Fällen, in denen sich die Angreifer als IT-Support ausgaben und die Nutzer dazu brachten, Quick Assist zu verwenden, um ihnen Fernzugriff zu geben. Vor dieser Methode hatte Microsoft bereits im Mai 2024 gewarnt.
Bei diesen sogenannten Vishing-Angriffen fordern die Angreifer ihre Opfer auf, eine Fernzugriffssoftware wie AnyDesk zu installieren oder Quick Assist zu starten, um so Zugriff auf deren Systeme zu bekommen.
In einer früheren Variante dieser Angriffe nutzten die Angreifer sogenannte Malspam-Taktiken. Sie überfluteten die E-Mail-Postfächer der Mitarbeiter mit Tausenden Nachrichten und riefen anschließend als angeblicher IT-Helpdesk des Unternehmens an, um Hilfe bei der „Problemlösung“ anzubieten.
Strafverfolgung schwächt Cybercrime-Szene
Ransomware-Angriffe der Akira- und Fog-Gruppen haben gezielt Schwachstellen in SonicWall SSL VPNs ausgenutzt, die nicht gegen die Sicherheitslücke CVE-2024-40766 gepatcht sind, um in Netzwerke ihrer Opfer einzudringen. Zwischen August und Mitte Oktober 2024 wurden laut Arctic Wolf mindestens 30 neue Angriffe mit dieser Methode entdeckt.
Diese Angriffe zeigen, dass Ransomware sich ständig weiterentwickelt und eine anhaltende Bedrohung für Unternehmen weltweit darstellt, auch wenn die Strafverfolgung einige Cybercrime-Gruppen zerschlagen konnte und die Szene dadurch stärker zersplittert ist.
Vergangenen Monat berichtete Secureworks, für Anfang des nächsten Jahres auf der Einkaufsliste von Sophos, dass die Anzahl aktiver Ransomware-Gruppen im Vergleich zum Vorjahr um 30 Prozent gestiegen ist, was auf das Auftauchen von 31 neuen Gruppen zurückzuführen ist. Trotz der Zunahme an Gruppen stieg die Anzahl der Opfer nicht im gleichen Maße, was auf eine fragmentierte Szene hinweist und Fragen zur Erfolgsrate dieser neuen Gruppen aufwirft.
Daten der NCC Group zeigen, dass es im September 2024 insgesamt 407 Ransomware-Fälle gab, ein Rückgang von zehn Prozent im Vergleich zu den 450 Fällen im August. Im September 2023 wurden noch 514 Fälle registriert. Besonders betroffen waren Branchen wie Industrie, Konsumgüter und Informationstechnologie.
Ebenso setzen inzwischen auch politisch motivierte Hacktivistengruppen wie CyberVolk vermehrt Ransomware als Mittel zur Vergeltung ein.
In den USA prüfen die Behörden neue Strategien zur Bekämpfung von Ransomware. Eine Überlegung ist, Cyber-Versicherungsunternehmen dazu zu bewegen, keine Erstattungen für Lösegeldzahlungen mehr anzubieten, um Unternehmen davon abzuhalten, Lösegeld zu zahlen. Anne Neuberger, stellvertretende Sicherheitsberaterin der USA für Cyber- und neue Technologien, erklärte in einem Meinungsartikel, dass solche Versicherungen Anreize für Lösegeldzahlungen schaffen und so das Cybercrime-Ökosystem befeuern – eine Praxis, die gestoppt werden sollte.