Forscher stellen Verbindungen zwischen SunCrypt und QNAPCrypt Ransomware her

Cyber Security News

SunCrypt, ein Ransomware-Stamm, der im letzten Jahr mehrere Ziele infiziert hat, könnte eine aktualisierte Version der QNAPCrypt-Ransomware sein, die auf Linux-basierte Dateispeichersysteme abzielt, wie neue Forschungsergebnisse zeigen.

“Während die beiden Ransomware [families] von deutlich unterschiedlichen Bedrohungsakteuren im Dark Web betrieben werden, gibt es starke technische Verbindungen in der Wiederverwendung von Code und Techniken, die die beiden Ransomware mit demselben Autor verbinden”, sagte Intezer Lab-Forscher Joakim Kennedy in einer heute veröffentlichten Malware-Analyse, die die Taktiken der Angreifer im Dark Web aufdeckt.

QNAPCrypt (oder eCh0raix) wurde erstmals im Juli 2019 identifiziert und ist eine Ransomware-Familie, die auf Network Attached Storage (NAS)-Geräte der taiwanesischen Unternehmen QNAP Systems und Synology abzielt. Die Geräte wurden kompromittiert, indem schwache Anmeldedaten erzwungen und bekannte Schwachstellen ausgenutzt wurden, mit dem Ziel, im System gefundene Dateien zu verschlüsseln.

Die Ransomware wurde inzwischen einer russischen Cybercrime-Gruppe namens “FullOfDeep” zugeordnet. Intezer hat bereits 15 Ransomware-Kampagnen mit der QNAPCrypt-Variante mit Denial-of-Service-Angriffen auf eine Liste statischer Bitcoin-Wallets beendet, die mit der ausdrücklichen Absicht erstellt wurden, Lösegeldzahlungen von Opfern anzunehmen und zukünftige Infektionen zu verhindern.

SunCrypt hingegen tauchte im Oktober 2019 als Windows-basiertes Ransomware-Tool auf, das ursprünglich in Go geschrieben wurde, bevor es Mitte 2020 auf eine C/C++-Version portiert wurde. Neben dem Diebstahl von Opferdaten vor der Verschlüsselung der Dateien und der Drohung mit der Veröffentlichung hat die Gruppe Distributed-Denial-of-Service-Angriffe (DDoS) als sekundäre Erpressungstaktik eingesetzt, um die Opfer zur Zahlung des geforderten Lösegelds zu bewegen.

Zuletzt wurde die Ransomware eingesetzt, um am 29. Dezember ein in New South Wales ansässiges medizinisches Diagnoseunternehmen namens PRP Diagnostic Imaging anzugreifen, bei dem “eine kleine Menge von Patientendaten” von zwei seiner administrativen Dateiserver gestohlen wurde.

[Blocked Image: https://thehackernews.com/images/-YSIcDby00R0/YD5HQIJ1JmI/AAAAAAAAB6o/QuQ0GUj6JpQTAcgp_cKXVVVTHrHGC5DYQCLcBGAsYHQ/s0/malware.png]

Obwohl die beiden Ransomware-Familien ihre Angriffe gegen unterschiedliche Betriebssysteme gerichtet haben, wurde zuvor über Verbindungen von SunCrypt zu anderen Ransomware-Gruppen spekuliert.

Tatsächlich zitierte das Blockchain-Analyseunternehmen Chainalysis Anfang letzten Monats einen “privat zirkulierten Bericht” der Threat Intelligence-Firma Intel 471, in dem behauptet wurde, dass Vertreter von SunCrypt ihren Stamm als eine “umgeschriebene und umbenannte Version eines ‘bekannten’ Ransomware-Stammes” beschrieben.

Laut der Analyse der SunCrypt Go-Binärdateien durch Intezer hat die Ransomware nicht nur ähnliche Verschlüsselungsfunktionen wie QNAPCrypt, sondern auch die verschlüsselten Dateitypen und die Methoden zur Generierung des Verschlüsselungspassworts sowie die Durchführung von System-Locale-Checks, um festzustellen, ob sich der betreffende Computer in einem nicht zugelassenen Land befindet.

Bemerkenswert ist auch die Tatsache, dass sowohl QNAPCrypt als auch SunCrypt das Ransomware-as-a-Service (RaaS)-Modell nutzen, um ihre Tools in Untergrundforen zu bewerben, in denen Partner die Ransomware-Angriffe selbst durchführen und einen Prozentsatz der Zahlung jedes Opfers an die Ersteller und Administratoren des Stamms zurückzahlen.

Unter Berücksichtigung der Überschneidungen und der Verhaltensunterschiede zwischen den beiden Gruppen vermutet Intezer, dass “die eCh0raix-Ransomware an die SunCrypt-Betreiber übertragen und von ihnen weiterentwickelt wurde.”

“Während die technisch basierten Beweise eine starke Verbindung zwischen QNAPCrypt und der früheren Version von SunCrypt herstellen, ist es klar, dass beide Ransomware von unterschiedlichen Personen betrieben werden”, so die Schlussfolgerung der Forscher.

“Basierend auf den verfügbaren Daten ist es nicht möglich, eine Verbindung zwischen den Aktivitäten der beiden Akteure im Forum herzustellen. Dies deutet darauf hin, dass, wenn neue Malware-Dienste auftauchen, die von älteren Diensten abgeleitet sind, diese nicht immer von denselben Personen betrieben werden.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com