Software

Darkside 2.0: Varonis verzeichnet verstärkte Angriffe der Ransomware-Gruppe

Das Incident Response Team (IRT) von Varonis Systems beobachtet seit November 2020 verstärkte Angriffe von Darkside, Inc. auf Unternehmen in Nordamerika und Europa. Diese sehr gezielten Kampagnen wurden in mehreren Phasen über Wochen bzw. Monate durchgeführt und zielten auf den Diebstahl und die Verschlüsselung sensibler Daten einschließlich Backups ab. Obgleich die Opfer über umfangreiche Cybersicherheitslösungen verfügten, hatten sie dennoch Schwierigkeiten bei der Identifizierung und folglich auch Abwehr der Attacken. Hierzu trägt vor allem das hochentwickelte Vorgehen der Angreifer bei: So halten sie sich vor der Verschlüsselung der Dateien außergewöhnlich lange in den angegriffenen Netzwerken auf, um möglichst unauffällig besonders lohnende Dateien zu identifizieren und zu exfiltrieren. Die Angreifer setzen dabei auf die neue Methode des RDP-over-TOR, bei der Traffic wie https-Traffic erscheint, allerdings TOR-Traffic zu Onion-Nodes darstellt. Auch werden bei jedem Angriff unterschiedliche Command and Control-Server, Beacons und individueller Code verwendet. Auffällig ist zudem, dass die Angriffe meist über kompromittierte Partner und Auftragnehmer erfolgen, da die Cyberkriminellen offensichtlich davon ausgehen, dass hier das Sicherheitsniveau in der Regel niedriger als bei den eigentlichen Zielen ist.

„Unser IRT hat festgestellt, dass sich der Code sowie die Techniken und Taktiken der Angreifer stets weiterentwickeln und jeder Angriff letztlich einzigartig ist“, erklärt Michael Scheffler, Country Manager DACH von Varonis Systems. „Auch das kürzlich vorgestellte Darkside Decryption Tool von Bitdefender hilft bei den neueren Angriffen nicht weiter.“ Die eingesetzten Tarn-Taktiken umfassen u.a. Command and Control over TOR, das Meiden von Nodes, die mit EDR gesichert werden, sowie das Löschen von Log-Dateien. Die Angreifer lassen sich sehr viel Zeit und führen auffälligere Aktionen erst in späten Phasen des Angriffs durch. Hier greifen sie auch Anmeldeinformationen ab, die in Dateien, im Speicher und auf Domain-Controllern gespeichert sind, nutzen Dateifreigaben zur Verteilung von Angriffstools und zum Speichern von Dateiarchiven und löschen zudem Backups (einschließlich Schattenkopien). „Eine Entdeckung dieser sehr fortschrittlichen Angriffe ist nur durch eine intelligente Verhaltensanalyse möglich. Dies zeigt sich insbesondere bei lateralen Bewegungen: Ein kompromittiertes Konto kann hierzu durchaus berechtigt sein. Sind solche Aktionen für den betreffenden Nutzer jedoch ungewöhnlich bzw. hat er dies noch nie gemacht, schlagen diese Systeme Alarm und die Sicherheitsteams können der Sache schnell auf den Grund gehen“, so Scheffler.

Über Darkside, Inc.

Die Darkside-Ransomware-Gruppe kündigte ihr Ransomware-as-a-Service-Modell im August 2020 in einer „Pressemitteilung“ an. Seitdem ist sie durch professionelle Operationen und hohe Lösegeldforderungen auffällig geworden. Die Cyberkriminellen agieren hochprofessionell und treten wie ein Unternehmen auf („Darkside, Inc.“), das unter anderem Web-Chat-Support sowie gewisse „Garantieleistungen“ anbietet. Vor einem Angriff erstellen sie umfangreiche Finanzanalysen der potenziellen Opfer, um so nur besonders lohnende, finanzkräftige Ziele zu attackieren. Gleichwohl bemühen sie sich auch um ein positives Image, indem sie öffentlich bekanntgegeben haben, keine Krankenhäuser, Schulen, gemeinnützige Einrichtungen und Regierungen anzugreifen, und angeblich einen Teil ihrer Einnahmen wohltätigen Zwecken zukommen lassen. Das Reverse Engineering von Varonis hat ergeben, dass die Malware von Darkside die Spracheinstellungen der Geräte überprüft, um sicherzustellen, dass sie keine in Russland ansässigen Unternehmen angreift.

Tipps zur Vorbereitung auf hochentwickelte Angriffe

  • Finden und beheben Sie die Schwachstellen, bevor es Angreifer tun: Jedes Konto im Internet, das keine MFA erfordert, ist nur einen Brute-Force-Angriff von einer Kompromittierung entfernt. Jeder ungepatchte Server mit Internetzugang ist nur einen Exploit vom Zahltag eines Skript-Kiddies entfernt.
  • Gehen Sie davon aus, angegriffen zu werden, und beheben Sie Schwachstellen im Inneren: Angreifer suchen nach einfachen Wegen, um an Domain-Admin-Anmeldeinformationen zu gelangen. Service- oder Admin-Konten mit SPNs, die zudem eine schwache Verschlüsselung aufweisen, oder privilegierte Konten mit schwachen oder gar keinen Kennwortanforderungen sind leichte Ziele. In zahlreichen Unternehmen benötigen Angreifer nicht einmal erhöhte Anmeldeinformationen, um sensible Daten zu erbeuten. Der durchschnittliche Mitarbeiter hat Zugriff auf weit mehr Daten, als er tatsächlich für seine Arbeit benötigt. Sperren Sie sensible Daten, so dass nur die richtigen Konten Zugriff haben, und überwachen Sie dann Dateisysteme auf ungewöhnliche Zugriffe und Änderungsereignisse.
  • Bringen Sie Licht ins Dunkel, vor allem bei wertvollen Assets: Unternehmen mit umfassenden Überwachungslösungen erkennen Angriffe wie diese wesentlich schneller. Wenn Sie blinde Flecken auf Kerndatenspeichern, in Active Directory, DNS, Fernzugriffssystemen oder in Webverbindungen haben, sind Sie kaum in der Lage festzustellen, welche Systeme kompromittiert wurden und ob sensible Daten gestohlen wurden.
  • Wenn Sie einen Angriff entdecken, lassen Sie Active Directory den Umfang ermitteln: Active Directory-Ereignisse können Ihnen helfen, kompromittierte Konten und Geräte schnell zu identifizieren. Anstatt sich auf jeweils einen Endpunkt zu konzentrieren, können Sie nach der Identifizierung eines kompromittierten Kontos oder Systems Active Directory nach Anzeichen für laterale Bewegungen dieses Kontos oder der auf diesem System verwendeten Konten abfragen.
  • Lassen Sie sich helfen: Wenn Sie Grund zu der Annahme haben, dass Sie von Darkside oder einer anderen Gruppe angegriffen wurden, können Sie sich an das Varonis Incident Response Team Dort erhalten Sie profunde Hilfe bei der Abwehr und Forensik. Dabei spielt es keine Rolle, ob Sie Varonis-Kunde sind.

Weitere Informationen und wie die Angriffe genau ablaufen und welche Techniken und Taktiken eingesetzt werden, erklärt der Blog-Beitrag.

Über die Varonis Systems (Deutschland) GmbH

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum.

Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung. Mit dem Schwerpunkt auf Datensicherheit adressiert Varonis eine Vielzahl von Anwendungsfällen wie Data Governance, Datenschutz und -klassifizierung, Zero Trust, Bedrohungserkennung und -abwehr sowie Compliance. Das börsennotierte Unternehmen verfügt weltweit über Niederlassungen und Partner. Unter den weltweiten Kunden von Varonis sind führende Unternehmen aus den Bereichen Technologie, Konsumgüter, Einzelhandel, Finanzdienstleistungen, Gesundheitswesen, Produktion, Energie, Medien und Bildung

Firmenkontakt und Herausgeber der Meldung:

Varonis Systems (Deutschland) GmbH
Kronstadter Str. 4
81677 München
Telefon: +49 (89) 38037990
http://www.varonis.com

Ansprechpartner:
Michael Scheffler
Country Manager DACH
E-Mail: mscheffler@varonis.com
Bastian Schink
Account Manager
Telefon: +49 (89) 550-67775
Fax: +49 (89) 550-67790
E-Mail: bastian@weissenbach-pr.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel