Universal Health Services: Computer von Ransomware verschlüsselt

Kommentare zu folgendem Beitrag: Universal Health Services: Computer von Ransomware verschlüsselt

Wenn man Hacker klassifizieren muss, dann sind das tief schwarze hats… bei Gesundheit hörts bei mir auf, mit aller Romantik die ich für gewisse kriminelle Felder jege…

Ob es den Hackern tatsächlich misslungen ist, bei den Computern der UHS an die vielen Kundendaten zu gelangen, um diese zu kopieren oder zu verfremden, wird sich noch herausstellen.

Wenn Daten bei dem Angriff abfließen, läuft die gesamte Erpressung ja ganz anders ab! Dann wird nämlich das Opfer darüber informiert und erhält einen Link zu einem TOR-Webserver, auf dem eine Probe der Dateien liegt, um bei der Forderung Druck auszuüben!

Wenn nur die Ransomware „Ryuk“ eingesetzt wurde, begrenzt sich die eigentliche Erpressung nur auf die Verschlüsselung der Daten, die ungefähr so ablääuft:

  • Ein verschleiertes PowerShell-Skript wird ausgeführt und stellt eine Verbindung zu einer Remote-IP-Adresse her.
  • Eine Reverse Shell wird heruntergeladen und auf dem kompromittierten Host ausgeführt.
  • PowerShell-Antiprotokollierungs-Skripts werden auf dem Host ausgeführt.
  • Die Aufklärung des Netzwerks wird mit Standard-Windows-Befehlszeilen-Tools zusammen mit extern hochgeladenen Tools durchgeführt.
  • Die seitliche Bewegung im gesamten Netzwerk wird mittels Remote Desktop Protocol (RDP) ermöglicht.
  • Service-Benutzerkonten werden erstellt.
  • PowerShell Empire wird heruntergeladen und als Dienst installiert.
  • Die seitliche Bewegung wird fortgesetzt, bis die Privilegien wiederhergestellt sind, um Zugriff auf einen Domänencontroller zu erhalten.
  • PSEXEC wird verwendet, um die Ryuk-Binärdatei an einzelne Hosts auszulagern.
  • Batch-Skripte werden ausgeführt, um Prozesse/Dienste zu beenden und Backups zu entfernen, gefolgt von der Ryuk-Binärdatei.

Von Hermes zu Ryuk:

Hermes-Ransomware, der Vorgänger von Ryuk, wurde erstmals im Februar 2017 verteilt. Nur einen Monat nach ihrer Veröffentlichung wurde ein Entschlüsseler für Hermes geschrieben, gefolgt von der Veröffentlichung der Version 2.0 im April 2017, die Schwachstellen in ihrer kryptographischen Implementierung behebt. Seit dieser Veröffentlichung ist die einzige Möglichkeit für ein Opfer, Dateien wiederherzustellen, der private Verschlüsselungsschlüssel, der durch die Zahlung des Lösegeldes erlangt wird. Ende August 2017 wurde die Version 2.1 von Hermes veröffentlicht.

Hermes wurde ursprünglich in Foren für 300 USD verkauft. Beim Kauf erhielt der Käufer ein Build, das zwei E-Mail-Adressen, einen Entschlüsseler und ein eindeutiges RSA-Schlüsselpaar unterstützte. Wenn der Käufer weitere E-Mail-Adressen wünschte, musste er eine weitere Version für weitere 50 USD erwerben. Der Verkäufer von Hermes-Lösegeldern scheint im Jahr 2017 die Werbung in Foren eingestellt oder eingeschränkt zu haben.

Frühe Versionen von Hermes wurden Berichten zufolge über RDP-Server mit Internetzugang installiert, die durch schwache Berechtigungsnachweise geschützt waren. Im Oktober 2017 wurde Hermes als zerstörerische Ablenkung für einen SWIFT-Kompromiss der Society for Worldwide Interbank Financial Telecommunication (SWIFT) bei der Far Eastern International Bank (FEIB) in Taiwan eingesetzt. Die Rolle von Hermes bei dem SWIFT-Angriff ist allerdings ein anderes Thema. Im März 2018 wurde beobachtet, wie Hermes über das GreenFlash Sundown Exploit-Kit Benutzer in Südkorea ins Visier nahm.

Mitte August 2018 tauchte eine modifizierte Version von Hermes unter dem Namen Ryuk in einem öffentlichen Malware-Repository auf. Ryuk wurde auf Unternehmensumgebungen zugeschnitten, und einige der Änderungen umfassen die Entfernung von Anti-Analyse-Prüfungen. Zu diesen Überprüfungen gehören die Abfrage des Process Environment Block (PEB), ob das Feld BeingDebugged ist, oder die Abfrage des PEB, ob das Feld NtGlobalFlag gesetzt ist; die Überprüfung, ob auf dem Host VirtualBox ausgeführt wird, durch Aufruf der Anweisung CPUID; und die Sicherstellung, dass die Host-Sprache nicht Russisch, Ukrainisch oder Weißrussisch ist. Aus Prozess- und Dateiperspektive zielen Hermes und Ryuk in ähnlicher Weise auf Dateien ab. Die Hauptunterschiede sind die Logik von Ryuk, die den Dateizugriff handhabt, und die Verwendung eines zweiten, eingebetteten öffentlichen RSA-Schlüssels.
:wink:

1 „Gefällt mir“