Cyberkriminelle missbrauchen Forensik-Software für Ransomware-Angriff

Der dokumentierte Angriff zeigt eine neue Entwicklung in der Cyberkriminalität: Statt ausschließlich Remote-Monitoring- und Management-Tools zu missbrauchen, greifen Täter nun auch auf spezialisierte Sicherheitstools zurück. Laut Sophos wollten die Angreifer offenbar Ransomware einsetzen, konnten jedoch durch rechtzeitige Intervention gestoppt werden.

Mehrstufiger Angriff über Cloud-Infrastruktur

Die Cyberkriminellen setzten auf eine ausgeklügelte Angriffskette, die mit der Windows-Funktion msiexec begann. Über diese installierten sie eine Datei namens v2.msi, die sie von der Cloudflare Workers Domain files[.]qaubctgg[.]workers[.]dev herunterluden, berichten die Sophos-Analysten. Diese Domain fungierte als Staging-Bereich für verschiedene Angreifertools, darunter das Cloudflare-Tunneling-Tool und die Remote-Administration-Software Radmin.

Nach der Installation kommunizierte Velociraptor mit dem Command-and-Control-Server velo[.]qaubctgg[.]workers[.]dev. In einem weiteren Schritt verwendeten die Angreifer einen kodierten PowerShell-Befehl, um Visual Studio Code (code.exe) vom selben Staging-Bereich zu laden und mit aktivierter Tunnel-Option auszuführen. Laut Sophos installierten die Täter die Software als Service und leiteten die Ausgabe in eine Log-Datei um. Anschließend luden sie über msiexec erneut Schadsoftware (sc.msi) von der Workers-Domain herunter.

Frühzeitige Erkennung verhindert Schlimmeres

Die Aktivierung der Tunnel-Option in Visual Studio Code löste einen Alert im Sophos-Sicherheitssystem Taegis™ aus. Diese Funktion ermöglicht sowohl Fernzugang als auch Remote-Code-Execution und wurde bereits von verschiedenen Bedrohungsgruppen missbraucht, erklären die Forscher. Die Warnung führte zu einer sofortigen Untersuchung, bei der Sophos-Analysten dem betroffenen Kunden Empfehlungen zur Schadensbegrenzung gaben.

Durch die schnelle Isolation des kompromittierten Systems konnten die Angreifer ihre Ziele nicht erreichen. Die Analyse der Sophos-Experten legt nahe, dass die dokumentierten Aktivitäten wahrscheinlich zu einem Ransomware-Einsatz geführt hätten.

Evolution der Angriffstaktiken

Der Velociraptor-Vorfall stellt laut Sophos eine Weiterentwicklung bekannter Angriffsmuster dar. Bedrohungsakteure missbrauchen regelmäßig Remote-Monitoring- und Management-Tools, wobei sie manchmal bereits vorhandene Programme auf den Zielsystemen nutzen oder diese während des Angriffs installieren. Die Verwendung von Incident-Response-Tools zeigt jedoch einen Strategiewechsel: Angreifer versuchen, sich einen Fuß in Netzwerken zu verschaffen und dabei die Menge der eingesetzten Malware zu minimieren.

Die Sophos-Forscher warnen Organisationen, die Nutzung von Velociraptor genau zu überwachen und jede nicht autorisierte Verwendung als mögliche Vorstufe zu Ransomware-Angriffen zu betrachten. Die Implementierung von Endpoint-Detection-and-Response-Systemen, die Überwachung unerwarteter Tools und verdächtiger Verhaltensweisen sowie die Befolgung bewährter Praktiken für Systemsicherheit und Backup-Erstellung können die Ransomware-Bedrohung mindern.

Sophos stellt drei spezifische Schutzmaßnahmen zur Verfügung, die Aktivitäten im Zusammenhang mit dieser Bedrohung erkennen: Troj/Agent-BLMR, Troj/BatDl-PL und Troj/Mdrop-KDK. Die CTU-Forscher empfehlen Organisationen, den Zugang zu den identifizierten Domains files[.]qaubctgg[.]workers[.]dev und velo[.]qaubctgg[.]workers[.]dev zu überprüfen und einzuschränken.

Weitere Artikel zum Thema: 

Konflikte managen statt austragen

Kämpfer oder Wächter: CISO im Zwiespalt

Acht Grundsätze für mehr Cyber-Resilienz