WastedLocker Ransomware

So erpresst Evil Corp Unternehmen

28.09.2020
Von 
Lucian Constantin arbeitet als Korrespondent für den IDG News Service.
WastedLocker ist der neueste Ransomware-„Streich“ der berüchtigten Hackergruppe Evil Corp. Lesen Sie, was Sie über diese raffinierte Erpressungs-Malware wissen sollten.
Die Ransomware WastedLocker stellt eine neue, kostenintensive Gefahr für Unternehmen und Behörden dar. Das sollten Sie jetzt wissen.
Die Ransomware WastedLocker stellt eine neue, kostenintensive Gefahr für Unternehmen und Behörden dar. Das sollten Sie jetzt wissen.
Foto: microcosmos - shutterstock.com

Die Hackerbande Evil Corp. vereinigt einige erfahrene Cyberkriminelle, die schon in der Vergangenheit mit der Dridex Malware und dem gleichnamigen Botnet für Furore sorgten. Auch diverse weitere Erpressungstrojaner sollen den Köpfen hinter Evil Corp. entsprungen sein. Nun versetzt eine neue, technisch versierte Ransomware Unternehmen in Angst und Schrecken: WastedLocker.

WastedLocker - Definiton

Bei WastedLocker handelt es sich um einen Erpressungstrojaner, der seit Mai 2020 verstärkt Unternehmen, Institutionen und Behörden ins Visier nimmt. Dabei zeichnet sich WastedLocker insbesondere durch seine technische Raffinesse aus und fällt durch die Höhe der Lösegeldforderungen auf, die weit in die Millionen gehen. Bislang sind (noch) vornehmlich US-Unternehmen von der Ransomware betroffen, erste Fälle gab es aber auch schon in Europa.

Bei den Autoren der Erpressungssoftware handelt es sich um die berüchtigte (und äußerst fähige) Black-Hat-Hackergruppe Evil Corp., die schon seit mehr als zehn Jahren ihr Unwesen treiben kann - obwohl sich die US-Justiz längst an ihre Fersen geheftet hat.

Evil Corp. und das Dridex Botnet

Zwei dieser Köpfe will das US-Justizministerium im Dezember 2019 identifiziert haben: Maksim Yakubets und Igor Turashev sollen wesentlich zum Aufbau des Dridex-Botnet beigetragen haben und stehen seither auf der Cyber's Most Wanted List des FBI.

Yakubets wird unabhängig davon auch im Zusammenhang mit früheren kriminellen Aktivitäten gesucht: Er soll unter anderem maßgeblich an der Kreation des Banking-Trojaners Zeus mitgewirkt haben. Der Quellcode dieses Trojaners wurde 2010 geleakt und bildet seitdem die Grundlage für zahllose weitere Banking-Trojaner - unter anderem Dridex. Das US-Heimatministerium geht inzwischen auch gegen die Evil Corp. selbst vor.

Im Laufe der Jahre entwickelte sich Dridex zu einer Malware-Verbreitungsplattform, die auch Kooperationen zwischen diversen kriminellen Hackergruppierungen hervorbrachte. Laut einer Studie des Sicherheitsanbieters NCC Group wurden die Aktivitäten rund um Dridex Ende 2017 heruntergefahren - Evil Corp. konzentriert sich seitdem ganz auf die Verbreitung von Ransomware. Den Anfang machte BitPaymer: Die Ransomware nahm in erster Linie Unternehmen in Nordamerika und Westeuropa ins Visier.

Die Aktivitäten von Evil Corp. kamen laut NCC 2019 für kurze Zeit zum Erliegen. Von Januar bis Mitte März 2020 schien die Gruppierung wieder aktiv zu werden, dann verschwand sie aber erneut von der Bildfläche - bis zum Mai 2020.

WastedLocker beerbt BitPaymer

Die Inaktivität zwischen März und Mai ließe sich einerseits mit den weltweiten Corona-Lockdowns erklären, andererseits auch damit, dass die Mitglieder in dieser Zeit an ihrer neuesten Schöpfung arbeiteten: WastedLocker. Die Ransomware weist zwar in Sachen Quellcode keine Gemeinsamkeiten mit BitPaymer auf, arbeitet aber ähnlich, wenn es um die Verschlüsselungsnachricht an die Opfer und die Personalisierungsmöglichkeiten geht.

Wie ernst die Bedrohung ist, die Evil Corp. für Unternehmen und Institutionen darstellt, bringen die Autoren der NCC-Studie auf den Punkt: "Evil Corp. hat Zugang zu hochspezialisierten und fähigen Softwareentwicklern, die dazu in der Lage sind, Netzwerk-Schutzmaßnahmen auf allen Ebenen zu unterwandern. Die Gruppierung scheint besonders viele Energie in die Umgehung von Endpoint-Protection-Lösungen zu stecken - was sich daran ablesen lässt, dass im Fall einer Erkennung postwendend eine neue Variante ihrer Malware zur Verfügung steht, die noch nicht erkannt wird. Es ist bekannt, dass sich fähige Cyberkriminelle kaum auf ein einzelnes Angriffselement beschränken."

Wie andere kriminelle Hackerbanden auch, passt Evil Corp. seine Lösegeldforderungen an die Unternehmensgröße des Opfers an. Eines der prominentesten Opfer von WastedLocker war bislang das US-Unternehmen Garmin, das Wearables und GPS-Navigationsgeräte aber auch Navigationsprodukte für die Luft- und Schifffahrtindustrie herstellt. Im Juli war WastedLocker bei Garmin erfolgreich und brachte das Geschäft des Unternehmens weltweit zum Erliegen - darunter beispielsweise auch Services für Piloten. Das Lösegeld betrug Medienberichten zufolge zehn Millionen Dollar. Unklar ist allerdings, ob Garmin diesen Betrag bezahlt hat. Garmin hat von den Angreifern jedenfalls einen Decryption Key erhalten.

WastedLocker - Funktionsweise

Wie Symantec, Malwarebytes und andere Sicherheitsanbieter in ihren Untersuchungen herausgefunden haben, beginnt die Infektionskette von WastedLocker mit einem Attack Framework auf Javascript-Basis namens SocGolish. Verbreitet wird das Framework als vermeintliches Browser Update über legitime, aber kompromittierte Webseiten. Das Framework wird als zip-Datei ausgeliefert und startet (wenn es geöffnet und ausgeführt wird) eine Angriffskette, die diverse PowerShell-Skripte und die Cobalt Strike Backdoor beinhaltet. Dieselbe Verbreitungstechnik und dasselbe Framework nutzte Evil Corp. bereits in der Vergangenheit um den Dridex-Trojaner zu verbreiten.

Haben die Hacker Zugriff auf einen Rechner im Netzwerk, versuchen sie mit Hilfe verschiedener Tools Zugangsdaten abzugreifen, Rechteausweitung zu erzwingen oder sich lateral durch das Netzwerk zu bewegen, um weitere Rechner zu kompromittieren. Das Ziel der Angreifer besteht darin, WastedLocker auf wertvolle Systeme - also Datenbanken, Server oder virtuelle Maschinen in der Cloud - zu bringen.

Um Dateien auf solchen Zielsystemen zu verschlüsseln, nutzt die Ransomware eine Kombination der Verschlüsselungsmethoden AES und RSA. Einer Analyse von Kaspersky Lab zufolge ist die Verschlüsselungsroutine der Ransomware sehr stark und optimal implementiert, Betroffene können ihre Daten nicht ohne den entsprechenden Key freischalten. Dieser wird zudem für jedes Opfer individuell berechnet. WastedLocker bringt jedoch auch Alleinstellungsmerkmale mit - beispielsweise eine Funktion, die dem Angreifer erlaubt, bestimmte Dateiordner priorisiert zu verschlüsseln. Das soll wahrscheinlich sicherstellen, dass die wichtigsten und wertvollsten Dateien zuerst verschlüsselt werden, für den Fall, dass ein System-Admin dem Vorgang auf die Schliche kommt und eingreift.

WastedLocker versieht jede Dateiendung mit dem Namen des Opfers und dem Zusatz "wasted". Außerdem erstellt die Ransomware eine Erpressungsnachricht für jedes einzelne File und ist darauf konzipiert, "shadow copies" (Standard-Backups von Windows-Systemen) zu löschen. Dabei versucht die Malware auch, Dateien über das Netzwerk zu verschlüsseln (auch Remote Backups). WastedLocker nutzt Privilege-Escalation-Techniken wie DLL Hijacking um System-Privilegien zu erlangen und installiert im Anschluss einen Service, der die Verschlüsselung der Dateien übernimmt.

"WastedLocker ist eine höchst gefährliche Ransomware. Eine erfolgreiche Attacke könnte das gesamte Netzwerk des Opfers lahmlegen, was nicht nur den Geschäftsbetrieb zum Erliegen bringt, sondern auch kostenintensive Aufräumaktionen nach sich zieht", urteilen die Sicherheitsexperten von Symantec. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.