Die SophosLabs haben eine neue Ransomware-Gruppe namens „Atom Silo“ ins Visier genommen. In ihrem Report analysieren die Forscher einen Angriff der Truppe, der über zwei Tage hinweg stattfand und die kürzlich aufgedeckte Schwachstelle in der Kollaborationssoftware Confluence ausnutzte. Pikantes Detail: Parallel zur Ransomware-Attacke kam durch die gleiche Hintertür auch ein Krypto-Miner zum Einsatz.
„Der Vorfall zeigt, wie schnell sich die Ransomware-Landschaft entwickelt. Der von den SophosLabs entdeckte, ultra-heimliche Gegner war bis vor wenigen Wochen unbekannt. Ähnlich wie LockFile, eine andere kürzlich entdeckte Ransomware-Gruppe, ist Atom Silo mit einer ganz eigenen Sammlung neuartiger und ausgeklügelter Taktiken, Techniken und Verfahren unterwegs, die verschiedenste Wendungen währen der eigentlichen Attacke zulassen – alles mit dem Ziel, möglichst lange unentdeckt zu bleiben“, so Sean Gallagher, Senior Threat Researcher bei Sophos.
Die von der Atom-Silo-Gruppe verwendete Ransomware ist nahezu identisch mit LockFile, aber in der Intrusionsphase kommen mehrere neuartige Techniken und komplexe Manöver zum Einsatz, um der Entdeckung zu entgehen und den Angriff abzuschließen.
- nachdem die Angreifer sich über eine Hintertür einen ersten Zugang zum Confluence-Server verschafft hatten, installierten sie eine zweite, heimliche Hintertür. Diese verwendete die ausführbare Datei eines legitimen Drittanbieter-Softwaretools, das für DLL-Side-Load-Angriffe anfällig war.
- die Ransomware installierte einen bösartigen Kernel-Treiber, der entwickelt wurde, um Endpoint-Protection-Software zu stören
- die Hintertür ermöglichte die Remote-Ausführung von Windows-Shell-Befehlen über die Windows-Verwaltungsschnittstelle (WMI), indem sie sich über TCP/IP-Port 80 mit einem Remote Command-and-Control-Server verband.
Die Angreifer bewegten sich dann in mittlerweile bekannter Weise auf Schleichfahrt durch das Netzwerk und kompromittierten zusätzliche Server, indem sie mithilfe eines geknackten Administratorkontos zusätzliche Hintertüren über die WMI-Schnittstelle installierten. Dabei verzichteten die Angreifer größtenteils darauf, diese Hintertüren als Dienste zu installieren, vermutlich um eine Erkennung durch Sicherheitskontrollen zu vermeiden. Außerdem nutzten die Cyberkriminellen Remote-Desktop-Dienste (RDP), um Daten zu finden, mittels RClone zu kopieren und in Dropbox zu exfiltrieren. Die eigentliche Ransomware-Datei wurde nach der Exfiltration freigegeben, gleichzeitig mit der Veröffentlichung einer anderen Datei, die den Endpunktschutz stören sollte.
„Atom Silo hat vor dem Start der Ransomware erhebliche Anstrengungen unternommen, um der Entdeckung zu entgehen. Abgesehen von den Hintertüren selbst nutzten die Angreifer nur native Windows-Tools und -Ressourcen, um sich innerhalb des Netzwerks zu bewegen, bis sie die Ransomware einsetzten“, so Sean Gallagher. „Dieser Vorfall ist eine gute Erinnerung daran, wie gefährlich öffentlich bekannte Software-Sicherheitslücken mit Internetzugriff sind – auch wenn sie nur für relativ kurze Zeit nicht gepatcht werden. In diesem Fall öffnete die Schwachstelle die Tür zu zwei gleichzeitigen, aber nicht zusammenhängenden Angriffen von Ransomware und einem Krypto-Miner.“
Um mehr über Atom Silo und deren Aktivitäten zu erfahren, lesen Sie den Artikel „Atom Silo Ransomware Actors Use Confluence Exploit, DLL Side-Load for Stealthy Attack” bei SophosLabs Uncut.