Lazarus Hackergruppe setzen jetzt auf Ransomware um Gewinne zu steigern

27. August, 2020
Lazarus Hacker setzen jetzt auf Ransomware

Kaspersky Sicherheitsforscher gehen davon aus, dass die Lazarus Hackergruppe nun auch Ransomware einsetzt. Diese Erkenntnis kommt aus der Analyse von Angriffen in Frankreich und Asien. Bei diesen Angriffen wurde eine neu entwickelte VHD Ransomware eingesetzt.

Was die Forscher aber stutzig macht, ist, dass Lazarus sich bisher immer nur halbherzig mit Ransomware befasst hatte. Beim berühmt-berüchtigten Wannacry Vorfall setzten die Hacker zwar Ransomware ein. Viel erfolgreicher waren sie aber beim Diebstahl von 81 Millionen US-Dollar von der Bangladesch Bank und dem Angriff auf Sony Pictures. Vielleicht um mit der Zeit zu gehen, und höchstwahrscheinlich, um noch mehr Geld abzukassieren, setzt Lazarus nun auf reine Ransomware Angriffe.

Bei der Analyse der aktuellen Angriffe der Gruppe im März und April dieses Jahres konnten die Kaspersky IT-Sicherheitsforscher zu diesem Ergebnis kommen. Zunächst wussten sie nicht, wer hinter den Angriffen steckte. Aber zu ihrem Erstaunen zeigte alles auf die Hacker der Lazarus Gruppe aus Nordkorea. Allerdings sei die Ransomware selbst nicht Besonderes, laut dem leitenden Mitarbeiter bei Kaspersky, Ivan Kwiatkowski. Auch auffällig sei, dass Lazarus nicht mit der Veröffentlichung von zuvor abgesaugten internen Daten drohte. Demnach sind wohl auch keine Daten gestohlen worden. Das Vorgehen deutet darauf hin, dass die Gruppe alles im Alleingang machen möchte. In der Regel werden die aufwendigen Arbeiten einer Ransomware Attacke auf mehrere spezialisierte Hackergruppen aufgeteilt. Ohne diese Zwischenhändler fällt der Gewinn unterm Strich natürlich für Lazarus sehr viel höher aus.

Die VHD-Angriffe

Die Vorgehensweise der beiden Angriffe wurde von Kaspersky als „sehr unorthodox und nicht auf dem neuesten Stand der Technik“ bezeichnet. VHD-Ransomware wurde in der Programmiersprache C++ geschrieben. Sie durchsucht verbundene Festplatten, um Dateien zu verschlüsseln und Ordner mit dem Namen „System Volume Information“ zu löschen. Diese sind mit der Windows-Funktion „Wiederherstellungspunkt“ verknüpft. Die VHD-Malware hält Prozesse an, die wichtige Dateien sperren könnten, wie zum Beispiel Microsoft Exchange und SQL-Server. Gefundene Dateien werden mit einer Kombination aus AES-256 im ECB-Modus und RSA-2048 verschlüsselt, erklärten die IT-Sicherheitsforscher. Für die eigentliche Lösegeldforderung wurde die Hilfe von Mersenne Twister als Zufallszahlengenerator verwendet.

VHD ist übrigens nicht in den gängigen Malware-Foren zu finden. Das weist daraufhin, dass es eine neuere Malware ist, die von nur einer Hackergruppe programmiert und eingesetzt wird. Und daher kam den Forschern erstmalig Lazarus in den Sinn, als sie entdeckten, dass ein Dienstprogramm eingesetzt wurde, welches Zugangsdaten im Code gespeichert hatte. Es verbreitete auch die Lösegeldforderung innerhalb des Netzwerks und besaß administrative Zugangsdaten und IP-Adressen des Opfers. Mit Brute-Force-Methoden versuchte es, Kennwörter des SMB-Dienstes auf jedem der gefundenen Rechner zu knacken. Sobald eine Verbindung hergestellt war, wurde VHD kopiert und über WMI-Aufrufe ausgeführt. Diese Technik erinnerte die Sicherheitsforscher stark an die APT-Kampagnen SonySPE, Shamoon und OlympicDestroyer.

Beim zweiten Angriff wurde eine Schwachstelle in einer VPN-Gateway ausgenutzt, um Zugang zu erhalten. Mit den dort erhaltenden administrativen Privilegien, setzten eine Backdoor ein und übernahmen den Active Directory-Server. So konnte sich VHD innerhalb von 10 Stunden auf allen Rechnern des Netzwerks installieren. Die IT-Sicherheitsforscher gehen davon aus, dass VHD hierbei über einen Downloader verbreitet wurde. Die verwendete Backdoor ist wohl ein Teil eines Multiplattform-Frameworks genannt MATA. Das mit allen Funktionen ausgestattete Framework läuft auf Windows, MacOS und Linux. Die Lazarus Gruppe ist bekannt als der alleinige Eigentümer von MATA. Die Kaspersky gab der Backdoor den Namen Dacls.

MATA wurde in einer Reihe von Angriffen gegen Unternehmen in aller Welt verwendet. Damit wurden Kundendatenbanken gestohlen und Lösegeldforderungen erzwungen. Das Framework besteht aus mehreren Komponenten, wie zum Beispiel einem Loader, einem Orchestrator und Plugins. Lazarus benutzt MATA wohl schon seit dem Frühjahr 2018.

Für Kaspersky ist klar, dass die nordkoreanischen Hacker daran arbeiten, ihre Malware viel systematischer und einfacher zu verbreiten. Anders als bei WannaCry, wo ein „Kill Switch“ eingebaut worden war und das Absahnen nicht sehr lukrativ ausfiel, entwickelt sich die Lazarus Group nun weiter. Die Forscher fragen sich indessen, ob diese Angriffe wohl isolierte Experimente sind oder Teil eines neuen Trends.

Artikel von darkreading.com, 28.07.2020: Lazarus Group Shifts Gears with Custom Ransomware
Artikel von arstechnica.com, 29.07.2020: North Korea’s Lazarus brings state-sponsored hacking approach to ransomware
Artikel von threatpost.com, 28.07.2020: Lazarus Group Brings APT Tactics to Ransomware
Artikel von cyberscoop.com, 28.07.2020: North Korean hackers are stepping up their ransomware game, Kaspersky finds
Artikel von securelist.com, 28.07.2020: Lazarus on the hunt for big game

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0, padrinan über pixabay.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen