Ransomwaremeldung mit dreitägigem Countdown
Ransomwaremeldung mit dreitägigem Countdown
Bildquelle: arrow123, Lizenz

DEV-0270: BitLocker als Werkzeug einer Ransomwaregruppe

Die Ransomwaregruppe DEV-0270, auch bekannt als Nemesis Kitten, nutzt Microsofts BitLocker zur Verschlüsselung der Daten ihrer Opfer.

Ransomwareangriffe sind dieser Tage keine Seltenheit. Und natürlich haben es viele davon auch auf Windows-Rechner abgesehen. Doch die wenigsten missbrauchen den Windows-eigenen BitLocker, um die Daten ihrer Opfer zu verschlüsseln. Eine Nische, die nun eine vom Iran gesponserte Hackergruppe besetzt hat, die unter dem Namen Nemesis Kitten oder DEV-0270 bekannt ist.

Auch DiskCryptor kommt als Backup zum Einsatz

Laut einer Analyse des Microsoft Security Threat Intelligence Centers (MSTIC) nutzt DEV-0270 kritische Sicherheitslücken aus, um sich Zugang zu Geräten zu verschaffen. Die Hacker setzen in großem Umfang auf sogenannte LOLBINs (Living-Off-the-Land Binarys), um Anmeldeinformationen abzugreifen. Anschließend setzen sie den BitLocker ein, um kompromittierte Geräte zu verschlüsseln. Dieser ist normalerweise für die vollständige Verschlüsselung von Datenträgern auf Windows-Geräten durch den Anwender vorgesehen.

Powershell Commands von DEV-0270
Powershell Commands von DEV-0270, durch die der BitLocker zum Einsatz kommt
Quelle: Screenshot

Doch auch für Workstations haben die Hacker eine Lösung. Sie greifen bei Bedarf auf DiskCryptor zurück, um die Festplatte zu verschlüsseln.

„DEV-0270 wurde dabei beobachtet, wie sie mit setup.bat-Befehlen die BitLocker-Verschlüsselung aktivierte, was dazu führte, dass die Rechner nicht mehr funktionsfähig waren. Für Workstations verwendet die Gruppe DiskCryptor, ein Open-Source-System zur vollständigen Festplattenverschlüsselung für Windows, das die Verschlüsselung der gesamten Festplatte eines Geräts ermöglicht.“

MSTIC

Aus verschlafenen Updates folgen Lösegeldforderungen

In vielen Fällen nutzte DEV-0270 bekannte Schwachstellen in Exchange oder Fortinet (CVE-2018-13379) aus. Insbesondere die ProxyLogon-Schwachstelle im Exchange kam sehr häufig zum Einsatz, obwohl es dafür schon seit langer Zeit ein Update gibt. In diesem Zuge weist Microsoft nochmals darauf hin, wie wichtig es ist, Systeme auf dem neusten Stand zu halten.

Aus Beobachtungen des Verhaltens der Cyberkriminellen ging hervor, dass diese in der Regel zwei Tage nach der Infiltration eines Geräts ein Lösegeld von ihren Opfern fordern. In einem bekanntgewordenen Fall lag dessen Höhe bei 8.000 US-Dollar. Betroffene, die dieser Forderung nicht nachkommen, müssen damit rechnen, dass die Hacker die gestohlenen Daten in einem SQL-Datenbank-Dump zum Verkauf anbieten.

DEV-0270 ist Teil der Cyberspionage-Gruppe Phosphorus

DEV-0270 soll Teil eines unter den zwei öffentlichen Pseudonymen Secnerd und Lifeweb arbeitenden Unternehmens sein. Darauf deuten zahlreiche Infrastrukturüberschneidungen hin. Außerdem seien diese Organisationen auch mit Najee Technology Hooshmand aus Karaj verbunden.

„Die Gruppe geht typischerweise opportunistisch vor: Sie scannt das Internet, um anfällige Server und Geräte zu finden, und macht Organisationen mit anfälligen und auffindbaren Servern und Geräten anfällig für diese Angriffe.“

MSTIC

Laut dem MSTIC-Team handelt es sich bei DEV-0270 um eine Untergruppe von Phosphorus, einer Cyberspionage-Gruppe, die dafür bekannt ist, hochrangige Regierungsbeamte, NGOs und Verteidigungsorganisationen ins Visier zu nehmen. Die Redmonder gehen jedoch davon aus, „dass einige der Ransomware-Angriffe von DEV-0270 eine Form von Schwarzarbeit sind, um persönliche oder unternehmensspezifische Einnahmen zu erzielen.

Erst kürzlich berichteten wir auch von einer ebenfalls aus dem Iran stammenden staatlichen Hackergruppe unter dem Namen HomeLand Justice, deren Angriff auf Albanien schwerwiegende Folgen für die diplomatischen Beziehungen zwischen den beiden Ländern hat.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.