Emotet, Trickbot, Ryuk – ein explosiver Malware-Cocktail

Ein typischer Emotet-Angriff

Das folgende fiktive Beispielszenario soll das in den Spam-Kampagnen zur Verbreitung von Emotet genutzte ausgefeilte Social Engineering sowie den typischen Ablauf einer Emotet-Infektion mit anschließender Ausbreitung von Trickbot und der Verschlüsselung von Daten durch die Ransomware Ryuk veranschaulichen. Das Szenario basiert auf realen Vorfällen, alle hier verwendeten Namen und Adressen von Personen und Organisationen sind jedoch frei erfunden.

Ausgangslage:

Karin Meier arbeitet bei der Stadtverwaltung Beispieldorf und ist dort unter anderem für den Einkauf von Büromaterial zuständig. Dazu sendet sie seit mehreren Jahren regelmäßig E-Mails mit Bestellungen an ihren Ansprechpartner Rolf Schulz bei der Bürobedarf GmbH.

Angriffsvorbereitung:

Vor drei Wochen wurde der Arbeitsplatz-PC von Rolf Schulz mit Emotet infizert, nachdem er ein schädliches Word-Dokument geöffnet und die Ausführung von Makros erlaubt hatte. In der Folge wurden alle E-Mails der letzten 180 Tage aus seinem Outlook-Postfach exfiltriert und an einen Emotet-Kontrollserver im Internet übermittelt. Dies betraf auch E-Mails mit Bestellungen von Frau Meier.

John Smith hat vorletzte Woche auf seinem privaten PC in New York ein schädliches Dokument aus einer Emotet-Spam-Kampagne im Namen eines amerikanischen Paket-Dienstleisters geöffnet, wodurch auch sein System mit Emotet infiziert wurde. Dabei wurden die Zugangsdaten für sein E‑Mail-Konto „smith@someprovider.com“ aus der Konfiguration seines E-Mail-Programms aus­gelesen und ebenfalls an einen Emotet-Kontrollserver übermittelt.

Vor einigen Tagen wurde zudem der PC von Ingrid Svensson aus Stockholm mit Emotet infiziert, wobei auch das Spam-Modul nachgeladen und installiert wurde. Das Spam-Modul nimmt seitdem regelmäßig Kontakt zu Emotet-Kontrollservern im Internet auf und bittet um Anweisungen zum Spam-Versand.

Der Angriff:

Der Kontrollserver übermittelte dem Spam-Modul die bei John Smith ausgespähten Zugangsdaten für sein E-Mail-Konto sowie eine automatisch generierte vermeintliche Antwort auf eine bei Rolf Schulz ausgespähte Bestellung von Frau Meier mit einem schädlichen Word-Dokument als Dateianhang. Das Spam-Modul auf Ingrid Svenssons PC versendete darauf hin über das E-Mail-Konto von John Smith eine E-Mail an Karin Meier, wobei es den Absendernamen auf Rolf Schulz fälschte.

Frau Meier wunderte sich ein wenig über die etwas ungewöhnliche Formulierung von Rolf Schulz in der E-Mail, aber da sie den Betreff und die zitierte Originalmail wiedererkannte, öffnete sie das Word-Dokument aus dem Dateianhang ohne sich den Absender der E-Mail genauer anzusehen. Bei der daraufhin angezeigten Meldung zu einer fehlenden Aktivierung von Word fragte sie sich kurz, was die Kollegen aus dem IT-Betrieb hier wohl verbockt haben – aber da sie neugierig war, was Herr Schulz ihr geschrieben hatte, stimmte sie der „Aktivierung von Inhalten“ zu, wodurch das in dem Dokument enthaltene schädliche Makro ausgeführt wurde.

Dadurch wurde auch der Arbeitsplatz-PC von Frau Meier mit Emotet infiziert und die E‑Mails der letzten 180 Tage aus Ihrem Outlook-Postfach wurden an einen Emotet-Kontrollserver übermittelt, um daraus automatisiert maßgeschneiderte Spam-Vorlagen für Angriffe gegen alle ihre Kommunikationspartner zu erstellen.

Der zweite Hieb:

Weiterhin wurde das Schadprogramm Trickbot nachgeladen, welches sich aufgrund unzureichender Sicherheitsmaßnahmen mittels ausgespähter Zugangsdaten für ein Benutzerkonto mit Domänenadministrator-Rechten im Netzwerk der Stadtverwaltung schnell automatisiert ausbreiten und einen Großteil der Systeme infizieren konnte. Die IT-Administratoren versuchten tagelang, das Problem in den Griff zu bekommen – jedoch waren neu aufgesetzte Systeme nach kurzer Zeit immer erneut von Trickbot befallen, da das Active Directory bereits vollständig kompromittiert war.

Der finale Schlag:

Heute Morgen dann eine weitere böse Überraschung: Über Nacht haben die Täter die Ransomware Ryuk auf allen Servern der Stadtverwaltung ausgerollt und die darauf gespeicherten Daten verschlüsselt. Auch die Backup-Server sind der Verschlüsselung zum Opfer gefallen. Für die Entschlüsselung der Daten fordern die Täter ein Lösegeld in Höhe von 250 000 Euro in Bitcoin. Glücklicherweise existieren noch Offline-Backups, deren Datenstand jedoch bereits zwei Wochen alt ist.

Konsequenzen:

Zunächst steht nun ein kompletter Neuaufbau von Netzwerk und Active Directory an. Nachdem anschließend die Offline-Backups zurückgespielt wurden, müssen die Daten der letzten zwei Wochen – soweit möglich – aus Handakten nachgetragen werden. Das wird für die Mitarbeiter viele Überstunden bedeuten. Bis dahin genießen Frau Meier und ihre Kolleginnen und Kollegen jedoch erst mal den angeordneten zehntägigen Zwangsurlaub. Es wird wohl noch einige Wochen dauern, bis die Stadtverwaltung von Beispieldorf wieder komplett arbeitsfähig ist …

Um einmal das Wirken und vor allem die aktuelle, gefährliche Präsenz von Ryuk, Emotet, TrickBot und weitere Konsorten aus der Familie der Ransomware besser verstehen zu können,möchte ich euch hiermit einen kleinen Einblick in das derzeitig aktuelle (LIVE!!) Backend / die Infrastruktur (C&C) etc. geben !!

Hier könnt ihr die Liste der Botnet Command&Control-Server (C&Cs) durchsuchen, die von Feodo Tracker verfolgt werden und mit Dridex und Emotet (aka Heodo) verbunden sind. Als Feodo Tracker 2010 gestartet wurde, sollte er Feodo-Botnet-C&Cs verfolgen. Feodo entwickelte sich jedoch weiter und es tauchte ein anderes Stück Feodo-Malware auf:

• Cridex: auch bekannt als Bugat war ein bis etwa 2013 aktiver ebanking-Trojaner. Diese Variante ist nicht mehr aktiv.

• Feodo: ist ein Nachfolger des Cridex ebanking-Trojaners, der 2010 zum ersten Mal erschien. Diese Variante ist nicht mehr aktiv.

• Geodo: ist ein Nachfolger des Feodo ebanking Trojaners, der erstmals 2014 erschien. Diese Variante ist allgemein auch als Emotet bekannt. Diese Variante ist nicht mehr aktiv.

• Dridex: ist ein Nachfolger des Cridex ebanking Trojaners. Er erschien erstmals 2011 und ist bis heute noch sehr aktiv. Es gibt Spekulationen, dass die Botnetzmaster hinter dem Ebanking-Trojaner Dyre ihren Betrieb auf Dridex verlagert haben.

• Heodo: ist ein Nachfolger des Geodo (alias Emotet). Es erschien erstmals im März 2017 und ist auch allgemein als Emotet bekannt. Während es anfangs für E-Banking-Betrug eingesetzt wurde, ging es später in ein Pay-Per-Install (PPI)-ähnliches Botnetz über, das sich über kompromittierte E-Mail-Zugangsdaten verbreitet.

• TrickBot: hat keine Codebasis mit Emotet. Allerdings wird TrickBot in der Regel von Emotet hinterlassen, um sich danach selber seitlich im Ablauf des Infizierungsstrang zu bewegen und zusätzliche Malware
  (wie z.B. Ryuk-Ransomware) zu laden, zu befehligen und letztendlich beim Opfer zu hinterlassen !!!

Hier ein akt. Ausschnitt (bei Artikel-Erstellung) der aktiven C & C’s (LIVE!):

01114×698 163 KB

Die Listen aktualisieren sich in Minuten-Intervallen und natürlich bei Aufdeckung eines neuen Servers etc. pp.
Über die dabei angezeigten IP-Adressen kann man dann noch tiefer forschen, um die Server dahinter mal einzeln zu durchleuchten und / oder um Verteilungs-Domains etc. zu entdecken !!

https://feodotracker.abuse.ch/browse/

Es gibt unter:

https://abuse.ch/

…noch so einige Projekte mehr, gewachsen in den letzten 10 Jahren!!! Ich profitiere auch öfters von der Schnelligkeit und Aktualität der hier veröffentlichten Daten!
Bei jeder neuen Schädlings-Welle bzw. bei Auftreten vollständig neuer Bedrohungen, erstelle ich mir so top-aktuelle BLACKLISTS und / oder ACLs, um z.B. damit Hardware-Firewalls oder Router-Knoten usw. zu füttern !! Es können auch weitere Listen mit „bösartigen“ Verteiler-Domains (inkl. DNS und IPs / Subnetze) erstellt werden, um die Firewalls etc. bei ihrem DPI-Searching abzuhärten !!
Was dann noch durchkommen sollte, ist im Normalfall heiße Luft !!

DENN MALWARE IST SCHEIßE !

…abuse.ch wird von einem beliebigen Schweizer betrieben, der für gemeinnützige Zwecke gegen Malware kämpft…
Mit Durchführung einer Reihe von Projekten, die Internet Service Provider und Netzbetreiber beim Schutz
ihre Infrastruktur unterstützen und somit vor Malware zu schützen. IT-Sicherheitsforscher, Anbieter und Strafverfolgungsbehörden verlassen sich auf auf Daten von abuse.ch, um das Internet sicherer zu machen !!

Hier noch was für den Interessierten vom Security-Lab „CYBEREASON“ (Hier wurde das Zusammenspiel der Ransomware-Kombi bis aufs letzte Bit durchleuchtet !!!

https://www.cybereason.com/blog/triple-threat-emotet-deploys-trickbot-to-steal-data-spread-ryuk-ransomware

Cybereasons Active Monitoring und Hunting Teams haben eine ernsthafte Bedrohung aufgedeckt, die den Emotet Trojaner und den TrickBot Trojaner benutzt, um die Ryuk Lösegeldforderung zu liefern. In den letzten Wochen hat das Active Monitoring Team von Cybereason mehrere Vorfälle von versuchter TrickBot-Infektion festgestellt. Neben diesen Vorfällen und Untersuchungen hat das Team auch Versuche einer Ryuk-Lösungsmittel-Infektion beobachtet. Die Art der Einsatz- und Ausführungstaktiken, -techniken und -verfahren von Ryuk kann je nach Vorfall variieren. Das Cybereason Active Monitoring Team konnte jedoch feststellen, dass mit TrickBot infizierte Computer für eine zukünftige Infektion mit Ryuk anfällig sind.

Obwohl TrickBot als Banking-Trojaner bekannt ist, sind seine Banking-Fähigkeiten in dieser Kampagne eine von vielen Fähigkeiten. In diesem Fall ist er in der Lage, mit einem C2-Server zu kommunizieren, um eine Reihe von sensiblen Daten zu sammeln und zu exfiltrieren. Er ist auch in der Lage, die Ryuk-Ransomware einzusetzen, die Dateien im gesamten Netzwerk verschlüsselt und den Schaden für den Endbenutzer erhöht. Diese Bedrohungen führen zu einer Degradierung der Marke, zu Schäden an einem Unternehmen und zu Schäden an der Person.

SICHERHEITSEMPFEHLUNGEN
Informieren Sie Ihr Team über den richtigen Umgang mit verdächtigen E-Mails, um das erstmalige Herunterladen oder Ablegen von Malware zu verhindern.
Verwenden Sie zum Schutz vor seitlichen Bewegungen keine privilegierten Konten, vermeiden Sie RDPs, ohne die Sitzung ordnungsgemäß zu beenden, speichern Sie keine Kennwörter im Klartext, setzen Sie gute Authentifizierungspraktiken ein, deaktivieren Sie unnötige Freigabeordner und ändern Sie die Namen der in Ihrer Organisation verwendeten Standardfreigabeordner.
Stellen Sie sicher, dass Ihre Systeme gepatcht sind, insbesondere CVE-2017-0144, um die Verbreitung von TrickBot und anderer Malware zu verhindern.
Deaktivieren Sie Makros in der gesamten Umgebung.
Befolgen Sie das Microsoft-Update mit Sicherheitshinweisen zur Verbesserung des Schutzes und der Verwaltung von Anmeldeinformationen in Ihrer Organisation.
Gehen Sie proaktiv an die Sicherheit heran, indem Sie vor dem Beginn eines Vorfalls Jagden durchführen und nach verdächtigem Verhalten suchen.
Entfernen Sie alle Persistenzmechanismen, die möglicherweise von einer der hier erwähnten Malware verwendet wurden, um die Bedrohung zu verringern.
Haben Sie Angst, von einem solchen Angriff getroffen zu werden? Schließen Sie die Löcher in Ihrer Verteidigung mit MITRE ATT&CK. Lesen Sie unser White Paper, um zu erfahren, wie. Laden Sie das Whitepaper „Fünf Stufen zur Schaffung eines strategischen, geschlossenen Sicherheitsprozesses“ von MITRE ATT&CK herunter.

HINTERGRUND ZU RYUK, TRICKBOT UND EMOTET
Ryuk ransomware wurde erstmals im August 2018 bei gezielten Angriffen durch eine unbekannte Infektionsmethode entdeckt. Die Lösegeldforderung scannte ein Ziel aus, verschaffte sich Zugang über Remote Desktop Services oder andere direkte Methoden, stahl Anmeldedaten und zielte dann auf hochkarätige Daten und Server, um das höchstmögliche Lösegeld zu erpressen. Im Januar 2019 wurde eine aktive Kampagne der Ryuk-Lösungsmittelwerbung entdeckt, die auf Opfer abzielte, die zuvor von TrickBot angegriffen wurden. Eine weitere kürzlich entdeckte Kampagne von Emotet-TrickBot-Ryuk wurde dazu verwendet, die Ryuk-Lösungsmittelwerbung zu implementieren und zu initiieren. Das unterscheidet sich von der in dieser Studie erwähnten Kampagne, da diese Kampagne jede Phase des Angriffs detailliert beschreibt, sowie die Verwendung von TrickBot, um sensible Informationen zu stehlen, bevor Ryuk für die Daten der Lösegeldopfer eingesetzt wird.

Obwohl Trojaner in der Regel auf Personen abzielen, die Bankkonto-Zugangsdaten stehlen wollen, wurde der TrickBot-Trojaner auf ähnliche Weise wie in dieser Studie verwendet, um sekundäre Malware zu verbreiten. Der Unterschied zu der in dieser Studie erwähnten Kampagne besteht darin, dass diese Kampagne TrickBot verwendet, um sensible Informationen zu stehlen, und dass sie Ryuk auch einsetzt, um die Daten der Opfer zu erpressen. Kriminelle, die es auf große Unternehmen abgesehen haben, nutzten Spam-E-Mails, um den Trojaner Emotet zu verbreiten, um die TrickBot-Malware zu verbreiten. Sobald ein Rechner mit der TrickBot-Malware infiziert ist, beginnt er, sensible Informationen zu stehlen, und die kriminelle Gruppe versucht festzustellen, ob das Unternehmen ein Branchenziel ist. Ist dies der Fall, liefern sie die Ryuk-Lösungssoftware aus.

Emotet wurde 2014 entdeckt und als Trojaner von Bedrohungsakteuren eingesetzt, um Bankdaten zu stehlen. In jüngerer Zeit wurde es als Dropper für andere ausgeklügelte Malware verwendet.
Emotet hat im Laufe der Jahre mehrere fortschrittliche Funktionen eingeführt, die eine modulare Struktur mit mehreren Modulen, einschließlich eines Installationsmoduls, eines Bankmoduls und eines DDoS-Moduls, aufweisen. Emotet’s Hauptverteilungsmethode sind nach wie vor Phishing-E-Mails, die verschiedene Social-Engineering-Techniken nutzen, um einen Benutzer dazu zu bringen, auf einen bösartigen Link zu klicken oder eine bösartige Microsoft Office-Datei herunterzuladen.

https://www.cybereason.com/blog/triple-threat-emotet-deploys-trickbot-to-steal-data-spread-ryuk-ransomware