Cybersecurity-Forscher haben die verschiedenen Maßnahmen beschrieben, die Ransomware-Akteure ergriffen haben, um ihre wahre Identität online zu verschleiern und den Standort ihrer Webserver-Infrastruktur zu verbergen.
„Die meisten Ransomware-Betreiber nutzen Hosting-Anbieter außerhalb ihres Herkunftslandes (z. B. Schweden, Deutschland und Singapur), um ihre Ransomware-Betriebsseiten zu hosten“, sagt Cisco Talos-Forscher Paul Eubanks. „Sie nutzen VPS-Hop-Points als Proxy, um ihren wahren Standort zu verbergen, wenn sie sich für Fernverwaltungsaufgaben mit ihrer Ransomware-Webinfrastruktur verbinden.“
Außerdem nutzen sie das TOR-Netzwerk und DNS-Proxy-Registrierungsdienste, um eine zusätzliche Ebene der Anonymität für ihre illegalen Operationen zu schaffen.
Durch die Ausnutzung der operativen Sicherheitsfehler der Bedrohungsakteure und anderer Techniken konnte das Cybersecurity-Unternehmen in der vergangenen Woche versteckte TOR-Dienste identifizieren, die auf öffentlichen IP-Adressen gehostet werden und von denen einige bisher unbekannte Infrastrukturen sind, die mit den Ransomware-Gruppen DarkAngels, Snatch, Quantum und Nokoyawa verbunden sind.
Es ist bekannt, dass Ransomware-Gruppen das Dark Web nutzen, um ihre illegalen Aktivitäten zu verbergen, die von der Weitergabe gestohlener Daten bis hin zur Aushandlung von Zahlungen an die Opfer reichen.
„Die Methoden, die wir zur Identifizierung der öffentlichen Internet-IPs verwendet haben, bestanden darin, die Seriennummern der [selbstsignierten] TLS-Zertifikate und Seitenelemente der Bedrohungsakteure mit den im öffentlichen Internet indizierten abzugleichen“, so Eubanks.
Neben dem Abgleich der TLS-Zertifikate bestand eine zweite Methode zur Aufdeckung der Infrastrukturen im Dark Web darin, die Favicons der Darknet-Websites mit dem öffentlichen Internet zu vergleichen, indem Webcrawler wie Shodan eingesetzt wurden.
Im Fall von Nokoyawa, einem neuen Windows-Ransomware-Stamm, der Anfang des Jahres auftauchte und erhebliche Ähnlichkeiten mit dem Code von Karma aufweist, wurde festgestellt, dass die über den versteckten Dienst TOR gehostete Website eine Schwachstelle beim Verzeichnisabgleich aufwies, die es den Forschern ermöglichte, auf die Datei „/var/log/auth.log“ zuzugreifen, die zur Erfassung von Benutzeranmeldungen verwendet wird.
Die Ergebnisse zeigen, dass nicht nur die Leak-Seiten der kriminellen Akteure für jeden Nutzer im Internet zugänglich sind, sondern auch andere Infrastrukturkomponenten, einschließlich der Identifizierungsdaten der Server, offengelegt wurden, so dass es möglich war, an die Anmeldedaten für die Verwaltung der Ransomware-Server zu gelangen.
Eine weitere Analyse der erfolgreichen Root-Benutzer-Logins ergab, dass sie von zwei IP-Adressen stammten: 5.230.29[.]12 und 176.119.0[.]195. Die erste Adresse gehört zur GHOSTnet GmbH, einem Hosting-Anbieter, der Virtual Private Server (VPS) anbietet.
„176.119.0[.]195 hingegen gehört zu AS58271, der unter dem Namen Tyatkova Oksana Valerievna geführt wird“, so Eubanks. „Es ist möglich, dass der Betreiber vergessen hat, den in Deutschland ansässigen VPS zur Verschleierung zu nutzen und sich direkt von seinem wahren Standort unter 176.119.0[.]195 in eine Sitzung mit diesem Webserver eingeloggt hat.“
LockBit fügt seinem überarbeiteten RaaS-Betrieb ein Bug Bounty-Programm hinzu
Die Entwicklung kommt zu einem Zeitpunkt, an dem die Betreiber der neuen Ransomware Black Basta ihr Angriffsarsenal erweitert haben, indem sie QakBot für den Erstzugriff und seitliche Bewegungen nutzen und die Sicherheitslücke PrintNightmare (CVE-2021-34527) ausnutzen, um privilegierte Dateioperationen durchzuführen.
Darüber hinaus hat die LockBit-Ransomware-Bande letzte Woche die Veröffentlichung von LockBit 3.0 mit der Botschaft „Make Ransomware Great Again!“ angekündigt und ein eigenes Bug Bounty-Programm gestartet, bei dem Belohnungen zwischen 1.000 und 1 Million US-Dollar für das Aufspüren von Sicherheitslücken und „brillante Ideen“ zur Verbesserung der Software ausgelobt werden.
„Die Veröffentlichung von LockBit 3.0 mit der Einführung eines Bug Bounty Programms ist eine förmliche Einladung an Cyberkriminelle, die Gruppe in ihrem Bestreben, an der Spitze zu bleiben, zu unterstützen“, sagte Satnam Narang, Senior Staff Research Engineer bei Tenable, in einer Erklärung gegenüber The Hacker News.
„Ein Hauptaugenmerk des Bug Bounty Programms liegt auf defensiven Maßnahmen: Es geht darum, Sicherheitsforscher und Strafverfolgungsbehörden daran zu hindern, Fehler in den Leak-Seiten oder der Ransomware zu finden, Wege zu finden, wie Mitglieder, einschließlich des Chefs des Partnerprogramms, entlarvt werden können, sowie Fehler in der Nachrichtensoftware zu finden, die die Gruppe für die interne Kommunikation und das Tor-Netzwerk selbst nutzt.“
„Die Bedrohung durch Doxing oder Identifizierung zeigt, dass die Strafverfolgung für Gruppen wie LockBit ein großes Problem darstellt. Schließlich plant die Gruppe, Zcash als Zahlungsoption anzubieten, was von Bedeutung ist, da Zcash schwerer zurückzuverfolgen ist als Bitcoin, was es den Forschern erschwert, die Aktivitäten der Gruppe im Auge zu behalten.“