Eine neue Ransomware-Kampagne zielte am 11. Oktober auf den Transport- und Logistiksektor in der Ukraine und in Polen mit einer bisher unbekannten Nutzlast namens Prestige.
„Das Microsoft Threat Intelligence Center (MSTIC) stellte fest: „Die Aktivität teilt die Viktimologie mit den jüngsten Aktivitäten des russischen Staates, insbesondere in den betroffenen Regionen und Ländern, und überschneidet sich mit früheren Opfern der FoxBlade-Malware (auch bekannt als HermeticWiper).
Der Tech-Riese merkte an, dass die Eindringlinge innerhalb einer Stunde bei allen Opfern auftraten und schrieb die Infektionen einem unbenannten Cluster namens DEV-0960 zu. Der Umfang der Angriffe wurde nicht bekannt gegeben, aber es wurde erklärt, dass alle betroffenen Kunden informiert werden.
Die Kampagne unterscheidet sich vermutlich auch von anderen zerstörerischen Angriffen der letzten Zeit, bei denen HermeticWiper und CaddyWiper zum Einsatz kamen. Letzterer wird von einem Malware-Loader namens ArguePatch (auch bekannt als AprilAxe) gestartet.
Die Methode des anfänglichen Zugriffs ist nach wie vor unbekannt. Microsoft weist darauf hin, dass sich der Angreifer bereits privilegierten Zugang zu der kompromittierten Umgebung verschafft hatte, um die Ransomware mit drei verschiedenen Methoden zu installieren.
In diesem Zusammenhang haben die Fortinet FortiGuard Labs eine mehrstufige Angriffskette aufgedeckt, die ein als Waffe eingesetztes Microsoft Excel-Dokument nutzt, das sich als Tabelle zur Erstellung von Gehältern für ukrainisches Militärpersonal ausgibt, um Cobalt Strike Beacon abzusetzen.
„Die Bedrohungslandschaft in der Ukraine entwickelt sich ständig weiter, und Wiper und destruktive Angriffe sind ein ständiges Thema“, so Redmond. „Ransomware und Wiper-Angriffe nutzen viele der gleichen Sicherheitslücken, um erfolgreich zu sein.
Die Ergebnisse fallen in eine Zeit, in der relativ neue Ransomware-Stämme, wie Bisamware, Chile Locker, Royal und Ransom Cartel, in den letzten Monaten immer mehr an Bedeutung gewinnen.
Ransom Cartel, das Mitte Dezember 2021 auftauchte, weist technische Überschneidungen mit der Ransomware REvil auf, die im Oktober 2021 nach einer Reihe aufsehenerregender Angriffe auf JBS und Kaseya eingestellt wurde, nachdem die Strafverfolgungsbehörden ihre Aktivitäten genau unter die Lupe genommen hatten.
Es wird vermutet, dass „die Betreiber des Ransom Cartel Zugang zu früheren Versionen des Quellcodes der Ransomware REvil hatten“, stellte Palo Alto Networks Unit 42 am 14. Oktober fest und erklärte, dass „es irgendwann eine Beziehung zwischen den Gruppen gab, auch wenn diese nicht mehr aktuell ist“.
Anfang Januar dieses Jahres erlitt REvil einen weiteren Rückschlag, als die russischen Behörden mehrere Mitglieder verhafteten, aber es gibt Anzeichen dafür, dass das berüchtigte Cybercrime-Kartell in irgendeiner Form zurückgekehrt sein könnte.
Die Cybersecurity-Firma Trellix enthüllte Ende September, dass eine „verärgerte interne Quelle“ der Gruppe Details über die Taktiken, Techniken und Verfahren (TTPs) des Gegners verriet und damit einen wichtigen Einblick in die „Beziehungen und die innere Arbeitsweise von REvil und seinen Mitgliedern“ gab.
Nicht nur REvil ist wieder auf dem Ransomware-Radar zu sehen. HP Wolf Security hat letzte Woche eine Magniber-Kampagne isoliert, die Windows-Nutzer mit gefälschten Sicherheitsupdates angreift, die eine JavaScript-Datei verwenden, um die dateiverschlüsselnde Malware zu verbreiten.
„Die Angreifer nutzten clevere Techniken, um Schutz- und Erkennungsmechanismen zu umgehen“, so Malware-Analyst Patrick Schläpfer. „Der größte Teil der Infektionskette ist ‚dateilos‘, d.h. die Malware befindet sich nur im Speicher, was die Wahrscheinlichkeit verringert, dass sie entdeckt wird.“