Suttipun – shutterstock.com
Sicherheitsexperten haben kürzlich festgestellt, dass die Ransomware-Gruppe Jolly Scorpius ihren RaaS-(Ransomware as a Service)-Dienst Ransomhouse massiv verbessert hat. Wie das Threat-Intelligence-Team von Palo Alto Networks berichtet, nutzt die Gruppe jetzt ein fortschrittliches duales Verschlüsselungssystem.
Die Angriffe basieren auf einer aktualisierten Version des Verschlüsselungs-Trojaner mit dem Codenamen „Mario“. Der Trojaner verwendet dabei nicht nur einen, sondern zwei separate Schlüssel. Der primäre Schlüssel umfasst 32 Byte, während der sekundäre Schlüssel acht Byte hat. Dadurch ist es nahezu unmöglich, die Daten wiederherzustellen.
Dabei kommt ein spezielles Tool namens „MrAgent“ zum Einsatz, um Attacken auf VMware ESXi-Hypervisoren zu automatisieren. „Mit MrAgent haben die Angreifer ihre Fähigkeiten massiv erweitert“, erklärt Andy Schneider, CISO bei Palo Alto Networks gegenüber CSO. Damit können sie Firewalls neutralisieren und ganze Hypervisor-Cluster in großem Umfang verschlüsseln, was innerhalb von Minuten zu maximalen Störungen führt.“
Deutschland als Hauptziel
Darüber hinaus bleibt auch die Taktik mit der doppelten Erpressung bestehen: Neben der Verschlüsselung der Systeme werden auch sensible Daten gestohlen. Palo Alto Networks zufolge haben es die Cyberkriminellen mit ihrer neuen Kampagne vor allem auf deutsche Unternehmen mit VMware-Infrastruktur abgesehen.
Schneider geht davon aus, dass Deutschland aufgrund seiner besonderen Infrastrukturlandschaft derzeit ein attraktives Ziel darstellt. „Im Gegensatz zu Märkten, die Public-Cloud-Strategien umfassender übernommen haben, setzen viele deutsche Unternehmen – insbesondere aus der Industrie und Technologiebranche – weiterhin stark auf eigene Rechenzentren“, erklärt er. „Diese werden von VMware dominiert.“
Der Experte verweist darauf, dass sich dieser Trend bereits in den jüngsten Angriffen auf deutsche Unternehmen in der Fertigung, der Luft- und Raumfahrt sowie der Produktion gezeigt hat. „Diese hohe Konzentration von ESXi-Infrastruktur macht die deutsche Industrie zu einem ertragreichen, effizienten Ziel für Ransomhous.“
Um sich vor solchen Angriffen zu schützen, empfehlen einige Sicherheitsexperten Unternehmen, ihre Verteidigungsstrategien anzupassen. Dazu zählen beispielsweise die Härtung virtualisierter Umgebungen, unveränderliche Backups und strenge Netzsegmentierung.
Keine herkömmliche Ransomware-Bande
Die Gruppe Jolly Scorpius unterscheidet sich in ihrem Auftreten von herkömmlichen Ransomware-Banden. Wie der CISO von Palo Alto Networks unterstreicht, geben sich die Akteure oft als „Sicherheitsauditoren” und nicht als reine Cyberkriminelle aus. „Sie behaupten, Schwachstellen aufzudecken, die durch schlechte Sicherheitspraktiken verursacht wurden, während sie rücksichtslose Doppel-Erpressungsangriffe durchführen.“
Laut Schneider lässt sich die Gruppe trotz ihrer professionellen Fassade mit russischsprachigen Ursprüngen in Verbindung bringen (insbesondere mit der „Babuk”-Codefamilie). „Die Auswahl ihrer Ziele steht oft im Einklang mit allgemeinen geopolitischen Spannungen. Indem sie sich auf kritische Lieferketten und Infrastrukturen in NATO-Ländern wie Deutschland konzentriert, profitiert sie von einem toleranten Umfeld in ihrer Heimatregion.“
No Responses