Die Ransomwaregruppe DEV-0270, auch bekannt als Nemesis Kitten, nutzt Microsofts BitLocker zur Verschlüsselung der Daten ihrer Opfer.
Ransomwareangriffe sind dieser Tage keine Seltenheit. Und natürlich haben es viele davon auch auf Windows-Rechner abgesehen. Doch die wenigsten missbrauchen den Windows-eigenen BitLocker, um die Daten ihrer Opfer zu verschlüsseln. Eine Nische, die nun eine vom Iran gesponserte Hackergruppe besetzt hat, die unter dem Namen Nemesis Kitten oder DEV-0270 bekannt ist.
Auch DiskCryptor kommt als Backup zum Einsatz
Laut einer Analyse des Microsoft Security Threat Intelligence Centers (MSTIC) nutzt DEV-0270 kritische Sicherheitslücken aus, um sich Zugang zu Geräten zu verschaffen. Die Hacker setzen in großem Umfang auf sogenannte LOLBINs (Living-Off-the-Land Binarys), um Anmeldeinformationen abzugreifen. Anschließend setzen sie den BitLocker ein, um kompromittierte Geräte zu verschlüsseln. Dieser ist normalerweise für die vollständige Verschlüsselung von Datenträgern auf Windows-Geräten durch den Anwender vorgesehen.
Quelle: Screenshot
Doch auch für Workstations haben die Hacker eine Lösung. Sie greifen bei Bedarf auf DiskCryptor zurück, um die Festplatte zu verschlüsseln.
„DEV-0270 wurde dabei beobachtet, wie sie mit setup.bat-Befehlen die BitLocker-Verschlüsselung aktivierte, was dazu führte, dass die Rechner nicht mehr funktionsfähig waren. Für Workstations verwendet die Gruppe DiskCryptor, ein Open-Source-System zur vollständigen Festplattenverschlüsselung für Windows, das die Verschlüsselung der gesamten Festplatte eines Geräts ermöglicht.“
MSTIC
Aus verschlafenen Updates folgen Lösegeldforderungen
In vielen Fällen nutzte DEV-0270 bekannte Schwachstellen in Exchange oder Fortinet (CVE-2018-13379) aus. Insbesondere die ProxyLogon-Schwachstelle im Exchange kam sehr häufig zum Einsatz, obwohl es dafür schon seit langer Zeit ein Update gibt. In diesem Zuge weist Microsoft nochmals darauf hin, wie wichtig es ist, Systeme auf dem neusten Stand zu halten.
Aus Beobachtungen des Verhaltens der Cyberkriminellen ging hervor, dass diese in der Regel zwei Tage nach der Infiltration eines Geräts ein Lösegeld von ihren Opfern fordern. In einem bekanntgewordenen Fall lag dessen Höhe bei 8.000 US-Dollar. Betroffene, die dieser Forderung nicht nachkommen, müssen damit rechnen, dass die Hacker die gestohlenen Daten in einem SQL-Datenbank-Dump zum Verkauf anbieten.
DEV-0270 ist Teil der Cyberspionage-Gruppe Phosphorus
DEV-0270 soll Teil eines unter den zwei öffentlichen Pseudonymen Secnerd und Lifeweb arbeitenden Unternehmens sein. Darauf deuten zahlreiche Infrastrukturüberschneidungen hin. Außerdem seien diese Organisationen auch mit Najee Technology Hooshmand aus Karaj verbunden.
„Die Gruppe geht typischerweise opportunistisch vor: Sie scannt das Internet, um anfällige Server und Geräte zu finden, und macht Organisationen mit anfälligen und auffindbaren Servern und Geräten anfällig für diese Angriffe.“
MSTIC
Laut dem MSTIC-Team handelt es sich bei DEV-0270 um eine Untergruppe von Phosphorus, einer Cyberspionage-Gruppe, die dafür bekannt ist, hochrangige Regierungsbeamte, NGOs und Verteidigungsorganisationen ins Visier zu nehmen. Die Redmonder gehen jedoch davon aus, „dass einige der Ransomware-Angriffe von DEV-0270 eine Form von Schwarzarbeit sind, um persönliche oder unternehmensspezifische Einnahmen zu erzielen.„
Erst kürzlich berichteten wir auch von einer ebenfalls aus dem Iran stammenden staatlichen Hackergruppe unter dem Namen HomeLand Justice, deren Angriff auf Albanien schwerwiegende Folgen für die diplomatischen Beziehungen zwischen den beiden Ländern hat.
