[English]Sicherheitsforscher von Palo Alto Networks sind Ende 2022 auf einen neuen Stamm an Ransomware gestoßen, der aktuell noch "unter dem Radar" vieler Sicherheitsforscher agiert. Im Dezember 2022 wurden aber mindestens 15 Opfer angegriffen. Hier einige Informationen zu dieser neuen Bedrohung.
Anzeige
Die Sicherheitsforscher von Unit 42 (Forschungsabteilung von Palo Alto Networks) warnen in einer aktuellen Mitteilung vor der Ransomware mit dem Namen Trigona. Trigona ist einerseits der Name einer stachellosen Biene, die in Südamerika vorkommt. Sicherheitsforscher des MalwareHunterTeams stießen Ende Oktober 2022 auf die Malware und haben Ende November 2022 erstmals diesen Namen in nachfolgendem Tweet für eine neue Ransomware-Gruppe verwendet.
Die Kollegen von Bleeping Computer hatten das Thema in diesem Blog-Beitrag aufgegriffen. Die Gruppe hatte seinerzeit eine neue Tor-Seite für Verhandlungen von Opfern unter diesem Namen eingerichtet. Das war seinerzeit eine Neuerung, da erste Infektionen Anfang 2022 noch eine Kommunikation per E-Mail erforderten und kein bestimmter Name für die Gruppierung verwendet wurde.
Seit diesem Zeitpunkt verfolgen die Sicherheitsforscher der Palo Alto Network Unit 42 die Aktivitäten dieser Gruppe. Laut deren war Trigona im Dezember 2022 sehr aktiv und hat in diesem Monat mindestens 15 potenzielle Opfer kompromittiert. Die betroffenen Unternehmen stammen laut Unit 42 aus den Bereichen Fertigung, Finanzen, Bauwesen, Landwirtschaft, Marketing und Hochtechnologie. Die Forscher identifizierten zudem zwei neue Trigona-Erpresserfälle im Januar 2023 und zwei im Februar 2023.
Anzeige
Eine außergewöhnliche Taktik von Trigona besteht darin, passwortgeschützte ausführbare Dateien zur Verschleierung von Malware zu verwenden. Die Sicherheitsforscher von Unit 42 beobachteten, wie der Ransomware-Betreiber sich zunächst Zugang zur Umgebung eines Ziels verschafft, um Erkundungen durchzuführen. Anschließend kommt ein RMM-Tool (Remote Access and Management) namens Splashtop zum Einsatz. Dessen Ziel ist es, die Malware in die Zielumgebung zu übertragen. Im Anschluss werden neuer Benutzerkonten erstellt, um die Operation schließlich mit dem dem Einsatz der Ransomware abzuschließen.
Bedrohungsforscher von Unit 42 vermuten, dass es sich bei der ursprünglichen per Web erreichbaren "Leak-Seite" um eine Entwicklungsumgebung handelte, in der Funktionen der Ransomware getestet wurden, bevor eine mögliche Verlagerung ins Dark Web erfolgte. Mehrere Beiträge auf der Seite scheinen Duplikate der BlackCat-Leak-Seite zu sein. Einige der Countdown-Timer laufen aber deutlich länger. Die Leak-Site ist im öffentlichen Internet allerdings nicht mehr verfügbar.
Interessant ist, dass die Unit 42 auf Beispiele von Operationen im Zusammenhang mit Trigona gestoßen ist, die von einem kompromittierten Windows 2003-Server ausgingen. Von diesem kompromittierten Server wurden dann ein NetScan zur internen Erkundung des Netzwerks durchgeführt. Die Angreifer missbrauchen oft legitime Produkte für böswillige Zwecke, nutzen sie aus oder unterwandern sie. Dies bedeutet nicht zwangsläufig, dass ein Fehler oder eine bösartige Eigenschaft des legitimen Produkts vorliegt, das missbraucht wird.
Trigona scheint derzeit unter dem Radar aktiv zu sein. Dieser Mangel an Bewusstsein in der Sicherheitscommunity ermöglicht es, die Opfer unauffällig anzugreifen, während andere Ransomware-Operationen mit größerem Bekanntheitsgrad die Schlagzeilen beherrschen. Palo Alto Networks hofft, dass die Aufklärung über Trigona und seine ungewöhnliche Technik, passwortgeschützte ausführbare Dateien zur Verschleierung von Malware zu verwenden, den Verteidigern hilft, ihre Umgebungen besser vor dieser Bedrohung zu schützen.
Aufgrund der zahlreichen Opfer, die Unit 42 identifiziert hat, und der sich derzeit entwickelnden Leak-Site von Trigona werden der Betreiber und/oder die Partner hinter der Ransomware ihre kriminellen Aktivitäten wahrscheinlich fortsetzen – und möglicherweise sogar noch verstärken. Details zur Trigona-Ransomware bzw. -Gruppe finden sich im Beitrag Bee-Ware of Trigona, An Emerging Ransomware Strain von Palo Alto.
Anzeige
Was genau ist jetzt an passwortgeschützten Dateien, um zu verhindern das Sicherheitssoftware den Inhalt analysieren kann, "ungewöhnlich" ?
Das ist keine exklusive Angriffsmethode und sollte man auf dem Radar haben.
Ob das jetzt Trigona einsetzt oder eine andere Gruppe spielt am Ende keine Rolle, der Gruppenname ändert ja nichts an der Systematik des Angriffes.
Ich muss auch nicht zwangsläufig alle Gruppen bei Namen kennen.