Neue Ransomware umgeht Sicherheitssysteme! : Qilin-Ransomware: Verbesserte Verschlüsselung entdeckt
Cybersecurity-Experten haben eine neue, extrem raffinierte Version der Qilin-Ransomware entdeckt, die mit fortschrittlichen Tarnungstechniken ausgestattet ist, um selbst hochentwickelte Sicherheitssysteme zu umgehen. Die Cybersicherheitsfirma Halcyon verfolgt diese gefährliche Bedrohung, die gezielt entwickelt wurde, um maximale Schäden anzurichten, unter dem Namen Qilin.B.
„Bemerkenswert ist, dass Qilin.B nun auf Systemen mit AESNI-Unterstützung die leistungsstarke AES-256-CTR-Verschlüsselung einsetzt, während bei Systemen ohne diese Unterstützung weiterhin Chacha20 genutzt wird“, erklärt das Halcyon-Forschungsteam in einem Bericht. „Zusätzlich schützt Qilin.B die Verschlüsselungsschlüssel mit RSA-4096 und OAEP-Padding. Das bedeutet, dass Dateien ohne den privaten Schlüssel des Angreifers oder die erbeuteten Seed-Werte nicht entschlüsselt werden können.“
Die Qilin-Ransomware, auch unter dem Namen Agenda bekannt, wurde erstmals im Juli/August 2022 von der Cybersicherheits-Community entdeckt. Die ersten Versionen waren in Golang programmiert, bevor die Entwickler zu Rust wechselten.
Ein Bericht der Cybersicherheitsfirma Group-IB aus Mai 2023 zeigte, dass das Ransomware-as-a-Service (RaaS)-Modell von Qilin seinen Mitgliedern erlaubt, achtzig bis fünfundachtzig Prozent der Lösegeldzahlungen zu behalten. Dies wurde bekannt, nachdem die Gruppe infiltriert und ein Gespräch mit einem Qilin-Anwerber geführt werden konnte.
In jüngsten Angriffen der Qilin-Ransomware wurde auf einigen betroffenen Geräten auch auf in Google Chrome gespeicherte Zugangsdaten zugegriffen, was von den üblichen Doppelerpressungsstrategien abweicht. Die von Halcyon analysierten Qilin.B-Versionen zeigen, dass die Ransomware auf älteren Versionen basiert, jedoch zusätzliche Verschlüsselungsoptionen und verbesserte Taktiken zur Tarnung aufweist.
Diese Taktiken umfassen den Einsatz von AES-256-CTR oder Chacha20 zur Verschlüsselung und Maßnahmen, um Sicherheitsanalysen zu umgehen. Dazu gehört das Beenden sicherheitsrelevanter Dienste, das kontinuierliche Löschen von Windows-Ereignisprotokollen und das automatische Löschen der Ransomware selbst.
Zusätzlich kann Qilin.B Prozesse beenden, die mit Backup- und Virtualisierungsdiensten wie Veeam, SQL und SAP verbunden sind, und löscht die Volume Shadow Copies, was eine Datenwiederherstellung erschwert.
„Mit seinen erweiterten Verschlüsselungsmechanismen, effektiven Verteidigungstaktiken und der gezielten Störung von Backup-Systemen ist Qilin.B eine besonders gefährliche Ransomware-Variante“, so Halcyon.
Die Bedrohung durch Ransomware wird immer gravierender, da die Gruppen ihre Angriffsmethoden ständig weiterentwickeln. Ein Beispiel dafür ist ein neues Toolset, das zur Verbreitung der Embargo-Ransomware verwendet wird. Bevor es jedoch die eigentliche Ransomware aktiviert, schaltet es mithilfe der Technik „Bring Your Own Vulnerable Driver“ (BYOVD) die Endpoint Detection and Response (EDR)-Lösungen auf dem Zielsystem aus. Dieses Toolset basiert auf der Programmiersprache Rust.
Der EDR-Killer, von ESET als „MS4Killer“ bezeichnet, weil er dem Open-Source-Tool s4killer ähnelt, und die Ransomware selbst werden über einen bösartigen Loader namens „MDeployer“ ausgeführt.
„MDeployer ist das zentrale Tool, das Embargo versucht, auf den Geräten des angegriffenen Netzwerks zu installieren. Es bereitet den Angriff vor, indem es die Ransomware ausführt und Dateien verschlüsselt“, erklären die Sicherheitsspezialisten Jan Holman und Tomáš Zvara. „MS4Killer wird dabei dauerhaft im Hintergrund laufen.“
Sowohl MDeployer als auch MS4Killer sind in Rust programmiert, ebenso wie die eigentliche Ransomware. Das zeigt, dass Rust die bevorzugte Sprache der Gruppe ist.
Laut Microsoft waren im aktuellen Geschäftsjahr 389 US-amerikanische Gesundheitseinrichtungen von Ransomware betroffen, die aufgrund von Ausfällen Verluste bis zu 900.000 US-Dollar pro Tag erlitten. Bekannte Ransomware-Gruppen, die gezielt Krankenhäuser angreifen, sind Lace Tempest, Sangria Tempest, Cadenza Tempest und Vanilla Tempest.
Von den 99 Gesundheitsorganisationen, die zugaben, Lösegeld gezahlt zu haben und den Betrag veröffentlichten, lag die durchschnittliche Zahlung bei 1,5 Millionen Dollar; in einigen Fällen betrug die Zahlung 4,4 Millionen Dollar.