Die sich entwickelnden Tools und technischen Taktiken von Ransomware verwirren die forensische Analyse

Cyber Security News

Laut einer kürzlich stattgefundenen Podiumsdiskussion gab es einen Anstieg an ausgeklügelten Ransomware-Angriffen, bei denen das Active Directory kompromittiert wurde. (“”Active Directory” von arrayexception ist lizenziert unter CC BY-SA 2.0)

Die Cybersecurity-Community hat im letzten Jahr aufmerksam beobachtet, wie die Ransomware-Akteure ihre Geschäftstaktiken eskalieren, einschließlich doppelter Erpressung, Bildung von Kartellen und direkter Kontaktaufnahme mit einzelnen Opfern.

Aber man darf einige der neueren Tools und technischen Strategien nicht übersehen, die diese Gegner kürzlich zu ihrem Repertoire hinzugefügt haben, um forensische Untersuchungen zu behindern und zu erschweren. Ein Gremium von IT-Experten diskutierte einige dieser neuesten Herausforderungen in einer Ransomware-Sitzung, die letzte Woche im Rahmen der 2021 Incident Response Forum Masterclass stattfand.

Aravind Swaminathan, Partner bei der Anwaltskanzlei Orrick, stellte zum Beispiel einen Anstieg von raffinierten Ransomware-Angriffen fest, bei denen das Active Directory kompromittiert wird, was “die Ermittlungen nicht nur komplizierter macht, sondern auch sehr viel mehr Zeit in Anspruch nimmt, weil sie oft lange Zeit in der Umgebung verbracht haben, um viele verschiedene Systeme zu untersuchen.”

Und in Situationen, in denen das Active Directory und der Domain-Controller auf einer virtuellen Maschine eingerichtet sind, verschlüsseln die Angreifer die VM-Umgebung ganzheitlich, bemerkte Bret Padres, Group Vice President bei Crypsis, einem Unternehmen von Palo Alto.

Dies verschafft den Angreifern einen Vorteil, fügte er hinzu, weil es die forensische Analyse weiter verlangsamt, die normalerweise schon während der Verhandlungen mit den Akteuren stattfinden würde. “Das hält uns ein wenig auf, weil wir warten müssen, bis wir den Entschlüsselungsschlüssel erhalten, um feststellen zu können, welche forensischen Beweise sich auf dem Domain Controller befinden”, sagte er.

Ein weiteres Problem ist die Übernahme von Rclone durch “böswillige” Akteure, ein legitimes, Open-Source- und kommandozeilenbasiertes Tool zum Synchronisieren von Dateien, das Unternehmen häufig zur Sicherung von Assets in der Cloud verwenden. “Während wir früher eine Menge FileZilla, Megaupload und solche Dinge gesehen haben, ist Rclone [now] verwendet. Und das macht die Forensik ein wenig schwieriger”, einschließlich der Suche und Identifizierung von Indikatoren für eine Kompromittierung, sagte Padres.

[Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/04/Screen-Shot-2021-04-08-at-1.24.13-PM-2.jpg]Im Uhrzeigersinn von oben, links: John Reed Stark, Präsident, John Reed Stark Consulting, LLC; Kari Rollins, Partner, Sheppard Mullin; Bret Padres, Group VP, Crypsis, a Palo Alto Networks Company; J.J. Jones, Senior Corporate Counsel, Microsoft; Aravind Swaminathan, Partner, Orrick; und Scott Lindlaw, Managing Director bei Sard Verbinnen & Co.

Auf der SpearTip im letzten Jahr berichteten Experten, dass sich Rclone als neues Werkzeug für die Datenexfiltration bei Ransomware-Angriffen herauskristallisiert hat. SentinelOne berichtete, dass der mutmaßliche Maze-Ransomware-Nachfolger Egregor ebenfalls auf Rclone zurückgreift.

Die Verwendung von Rclone, sagte Swaminathan, macht “das Verständnis, welche Daten tatsächlich exfiltriert wurden … noch schwieriger, vor allem, weil, wenn man sich die Art und Weise ansieht, wie Rclone funktioniert, und das Threading, das es anwendet, es wirklich schwierig ist, abzubilden, auf welche Daten sie tatsächlich Zugriff hatten oder erworben haben … Und so war das tatsächlich ein großes Hindernis bei unseren Untersuchungen[s].”

In diesem Zusammenhang merkte Padres an, dass man in Verhandlungen mit den Hackern oft erfährt, was sie gestohlen haben. (Es liegt nur an der Organisation, was sie glauben soll.) “Wenn man sie fragt: ‘Welche Daten habt ihr genommen?’, geben sie Verzeichnislisten weiter oder in einigen Fällen stellen sie diese Daten sogar dem Opfer zur Verfügung, um sagen zu können: ‘Okay, hier ist eine Kopie eurer Daten; ihr könnt euch einloggen und sie euch ansehen, wenn ihr wollt'”, so Padres.

Kari Rollins, Partnerin bei Sheppard Mullin, merkte außerdem an, dass die Angreifer Daten aus verschiedenen Quellen gesammelt haben, was es für die Ermittler schwierig macht, genau zu bestimmen, welche Systeme und wie viele Datenquellen die Täter kompromittieren konnten und auf die sie Zugriff hatten. “Ich denke, das verkompliziert die Faktoren, das Risiko und die Entscheidungsfindung, wenn man beurteilen muss, ob man eine Meldepflicht hat”, sagte sie.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com