Die Cyber-Kriminellen haben Humor und lassen sich vom Brexit animieren. Sicherheitsforscher von Varonis identifizieren einen neuen Ransomware-Typ, der die Dateien mit der Dateinamenerweiterung .SaveTheQueen verschlüsselt. Der Verschlüsselungstrojaner zielt auf den SYSVOL-Ordner der Domänencontroller.
Anzeige
Sicherheitsforscher von Varonis Systems Inc. haben einen neuen Stamm fortschrittlicher Ransomware identifiziert. Einer der Varonis-Kunden kontaktierte den Anbieter, als er nach einer Infektion mit einer entsprechenden Lösegeldforderung zur Entschlüsselung konfrontiert wurde. Die Ransomware versieht die verschlüsselten Dateien mit der Endung .SaveTheQueen und wurde bereits hier diskutiert.
Ransomware nutzt SYSVOL-Freigabe auf dem Domänencontroller
Dabei nutzen die Angreifer die SYSVOL-Freigabe auf dem Domänencontroller des Opfers, um die Malware lateral zu verbreiten und den Verlauf der Ausbreitung in der Domäne verfolgen zu können.
Nach Einschätzung der Experten ist der Next-Generation-Kryptotrojaner durch die Verwendung des betroffenen Domänencontroller (um die Malware zu verbreiten) und PowerShell (um die Malware zu öffnen und auszuführen) darauf ausgelegt, ganze Unternehmens-Infrastrukturen lahmzulegen. Dies scheint für die Cyberkriminellen die lukrativste Strategie zu sein, da sie durch den Zugriff auf das Domain-Administratorkonto auch andere Möglichkeiten eines Angriffs hätten, wie Kryptojacking oder Datendiebstahl.
SYSVOL ist ein zentraler Ordner auf jedem Domänencontroller, der für die Bereitstellung von Richtlinien (GPO) und Anmeldeskripts auf Domänen-Workstations verwendet wird. Der Inhalt des SYSVOL-Ordners wird zwischen den Domänencontrollern repliziert, um die Daten synchron zu halten. Das Schreiben in SYSVOL erfordert entsprechend hohe Domänenberechtigungen. Wenn diese jedoch kompromittiert werden, ist dies ein leistungsstarkes Werkzeug für Angreifer, die es zur schnellen Verbreitung bösartiger Inhalte in der Domäne verwenden können. Folglich bringt die Kontrolle über ein Domain-Administratorkonto Angreifern eine Vielzahl an Möglichkeiten für kriminelle Aktivitäten. So wären sie auch in der Lage gewesen, gezielt nach wertvollen Informationen zu suchen oder Unternehmensressourcen für Kryptomining zu kapern.
Anzeige
Während die eigentliche Ransomware relativ konventionell agiert, nutzen die Malware-Entwickler Active Directory auf kreative Art und Weise zur Verbreitung des Droppers. Insofern stellt dieser neue Verschlüsselungstrojaner ein erhebliches Gefahrenpotenzial dar und unterstreicht jüngste Beobachtungen, die darauf hindeuten, dass auch Ransomware immer ausgefeilter wird. Weitere Informationen zur Malware finden sich in diesem Blog-Beitrag.
Anzeige
Wer schreibenden Zugriff auf SYSVOL hat, kann in den GPOs liegende Startup/Login-Scipte manipulieren…