Microsoft hat vier verschiedene Ransomware-Familien – KeRanger, FileCoder, MacRansom und EvilQuest – aufgedeckt, von denen bekannt ist, dass sie Apple macOS-Systeme angreifen.
„Diese Malware-Familien sind zwar alt, aber sie sind ein Beispiel für die Bandbreite an Fähigkeiten und bösartigem Verhalten, die auf der Plattform möglich sind“, so das Security Threat Intelligence Team des Tech-Riesen in einem Bericht vom Donnerstag.
Der ursprüngliche Vektor für diese Ransomware-Familien ist das, was der Windows-Hersteller „benutzerunterstützte Methoden“ nennt, bei denen das Opfer trojanisierte Anwendungen herunterlädt und installiert.
Alternativ kann die Ransomware auch in einem zweiten Schritt durch eine bereits existierende Malware auf dem infizierten Rechner oder als Teil eines Angriffs in der Lieferkette eingeschleust werden.
Unabhängig vom Modus Operandi verlaufen die Angriffe ähnlich: Die Bedrohungsakteure nutzen legitime Betriebssystemfunktionen und Schwachstellen, um in die Systeme einzudringen und die gewünschten Dateien zu verschlüsseln.
Dazu gehört die Verwendung des Unix-Dienstprogramms find sowie von Bibliotheksfunktionen wie opendir, readdir und closedir, um Dateien aufzulisten. Eine weitere Methode, die von Microsoft angesprochen, aber von den Ransomware-Stämmen nicht übernommen wurde, ist die NSFileManager Objective-C Schnittstelle.
Bei KeRanger, MacRansom und EvilQuest wurde außerdem beobachtet, dass sie eine Kombination aus hardware- und softwarebasierten Überprüfungen nutzen, um festzustellen, ob die Malware in einer virtuellen Umgebung ausgeführt wird, um sich so gegen Analyse- und Fehlersuchversuche zu wehren.
KeRanger setzt eine Technik ein, die als verzögerte Ausführung bekannt ist, um der Entdeckung zu entgehen. Er erreicht dies, indem er nach dem Start drei Tage lang schläft, bevor er seine bösartigen Funktionen auslöst.
Die Persistenz, die dafür sorgt, dass die Malware auch nach einem Neustart des Systems ausgeführt wird, wird durch Startagenten und Kernel-Warteschlangen sichergestellt, so Microsoft.
Während FileCoder das ZIP-Programm zum Verschlüsseln von Dateien verwendet, nutzt KeRanger die AES-Verschlüsselung im Cipher Block Chaining(CBC)-Modus, um seine Ziele zu erreichen. Sowohl MacRansom als auch EvilQuest nutzen dagegen einen symmetrischen Verschlüsselungsalgorithmus.
EvilQuest, das erstmals im Juli 2020 aufgedeckt wurde, geht über typische Ransomware hinaus und enthält weitere trojanerähnliche Funktionen wie Keylogging, die Kompromittierung von Mach-O-Dateien durch Einschleusen von beliebigem Code und die Deaktivierung von Sicherheitssoftware.
Außerdem kann er jede Datei direkt aus dem Speicher ausführen und hinterlässt so keine Spuren auf der Festplatte.
„Ransomware ist nach wie vor eine der häufigsten und schwerwiegendsten Bedrohungen für Unternehmen. Die Angreifer entwickeln ihre Techniken ständig weiter, um ein breiteres Netz an potenziellen Zielen zu erreichen“, so Microsoft.