Nefilim nimmt gezielt umsatzstarke Firmen ins Visier
Trend-Micro-Studie: Analyse der erfolgreichsten Ransomware
Trend Micro, weltweiter Anbieter von Cybersicherheitslösungen, hat eine Fallstudie über die Ransomware-Gruppe Nefilim veröffentlicht, die tiefen Einblick in den Ablauf moderner Ransomware-Angriffe gibt. Die Studie biete wertvolle Hintergrundinformationen dazu, wie sich Ransomware-Gruppen entwickeln, im Untergrund agieren und wie fortschrittliche Detection-und-Response-Plattformen zu ihrer Abwehr beitragen.
Die Vorgehensweise moderner Ransomware-Familien erschwert die Erkennung und Bekämpfung von Cyberangriffen (Detection und Response) für bereits überlastete SOC- (Security Operations Center) und IT-Security-Teams erheblich. Dies ist nicht nur entscheidend für den Geschäftserfolg und die Unternehmensreputation, sondern auch für das Stresslevel der SOC-Teams selbst.
„Moderne Ransomware-Angriffe sind überaus zielgerichtet, anpassungsfähig sowie verdeckt und gehen dabei nach bewährten, von APT-Gruppen (Advanced Persistent Threat) bereits perfektionierten Ansätzen vor. Indem sie Daten stehlen sowie wichtige Systeme sperren, versuchen Gruppen wie Nefilim, hochprofitable, global agierende Unternehmen zu erpressen,“ erklärt Richard Werner, Business Consultant bei Trend Micro. „Unsere neueste Studie ist ein Muss für alle in der Branche, die diese schnell wachsende Schattenwirtschaft umfassend verstehen und zudem nachvollziehen möchten, wie Lösungen für Extended Detection und Response, kurz XDR, dabei unterstützen, gegen sie vorzugehen.“
Unter den von März 2020 bis Januar 2021 untersuchten 16 Ransomware-Gruppen waren Conti, Doppelpaymer, Egregor und REvil die Spitzenreiter in Bezug auf die Anzahl der gefährdeten Opfer. Dabei wies Cl0p mit 5 TByte die meisten gestohlenen Daten auf, die online gehostet wurden.
Aufgrund der strikten Fokussierung auf Unternehmen mit einem Jahresumsatz von mehr als einer Milliarde US-Dollar erzielte Nefilim mit Erpressungen jedoch den höchsten Durchschnittsumsatz. Wie die Studie von Trend Micro zeigt, weist ein Nefilim-Angriff in der Regel folgende Phasen auf:
- Einleitender Zugriff, der schwache Zugangsdaten bei exponierten Remote-Desktop-Protocol (RDP)-Diensten oder anderen nach außen gerichteten HTTP-Diensten missbraucht.
- Nach dem Eindringen dienen legitime Admin-Tools für laterale Bewegungen dazu, wertvolle Systeme für den Datendiebstahl sowie die Verschlüsselung zu ermitteln.
- Ein „Call-Home-System“ wird mit Cobalt Strike und Protokollen wie HTTP, HTTPS und DNS aufgesetzt, die jede Firewall passieren können.
- Für C-and-C-Server kommen speziell gesicherte, sogenannte „Bulletproof“-Dienste vzum Einsatz.
- Die Daten werden ausgelesen und anschließend auf Tor-geschützten Websites veröffentlicht, um die Opfer zu erpressen. Im letzten Jahr veröffentlichte Nefilim etwa 2 TByte Daten.
- Die Erpessung startet man manuell, sobald genügend Daten vorliegen.
Trend Micro warnte bereits vor dem weit verbreiteten Einsatz legitimer Tools wie AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec und MegaSync, mit denen Ransomware-Angreifer ihr Ziel erreichen und dabei unbemerkt bleiben können. Dadurch könne es für SOC-Analysten, die sich Ereignisprotokolle aus verschiedenen Teilen der Umgebung ansehen, zu einer besonderen Herausforderung werden, die übergeordneten Zusammenhänge sowie Angriffe zu erkennen.
Trend Micro Vision One überwache und korreliere verdächtiges Verhalten über mehrere Ebenen hinweg, von Endpunkten über E-Mails, Server und Cloud-Workloads, um sicherzustellen, dass es für Bedrohungsakteure keine Hintertüren gibt. Dies sorgt bei Vorfällen für schnellere Reaktionszeiten. Teams können Angriffe meist stoppen, bevor diese ernsthafte Auswirkungen auf das Unternehmen haben.
Lesen Sie mehr zum Thema
