Ransomware-Attacken: Schadsoftware durch Umgehungstechniken noch effektiver – Vorhersagen 2021

von Maria Patricia Revilla Dacuno, Forscherin, Tactical Defense Unit

Ereignisse im Bereich Datensicherheit aus diesem Jahr werden die Entwicklung von Ransomware-Angriffen auch im Jahr 2021 stark prägen.

Hacker versuchen bei Cyber-Attacken Malware zu verstecken

Dieses Jahr konnten wir Ragnar Locker und Maze Ransomware beobachten, die die virtuelle Maschine mit der VirtualBox von Oracle nutzten, um Cyber-Angriffe auszuführen und so durch die Endpoint Protection (EPP) unentdeckt zu bleiben. Denn EPP schützt den unmittelbaren Host, nicht aber die Images der virtuellen Maschinen, dadurch ist das Ransomware- Sample für EPP nicht zu erkennen.

Darüber hinaus müssen wir annehmen, dass andere Ransomware-Familien in Zukunft ähnliche Technik nutzen werden. Entsprechend werden sich andere Cyber-Kriminelle neue Ausweichmethoden für ihre Ransomware-Angriffe ausdenken. Das Ziel bleibt jedoch gleich: Nicht von den verschiedenen EPP-Technologien blockiert zu werden.

Emotet als Allzweckwaffe für Online-Angriffe

Beispielsweise nutzte Emotet, eine Malware-Familie, die für die Verbreitung von Trickbot (der wiederum die Ransomware Ryuk ausliefert) bekannt ist, im Jahr 2020 verbesserte Social Engineering-Taktiken für ihre Spam-Kampagnen.

Außerdem sahen Forscher dabei auch ein neues Modul, das zusätzlich zu E-Mail-Inhalten auch die Anhänge stiehlt. Dementsprechend wurden die gestohlenen Anhänge dann als “E-Mail-Thread-Hijacking” missbraucht. Folglich wurde eine gefälschte E-Mail mit den lesbaren Informationen der gestohlenen Datei in einem schädlichen Dokument wiederverwendet, um die Glaubwürdigkeit der E-Mail zu erhöhen. Schöner neuer Malware-Angriff.

Vielfältige Ransomware-Attacken

Aufgrund der Fähigkeiten von Emotet, Inhalte zu stehlen, ist es möglich, dass Cyber-Kriminellen sich weitere Ransomware-Angriffe-Varianten auf Basis der gesammelten Informationen ausdenken und optimieren. Hierzu haben Emotet-Spam-Angriffe begonnen, passwortgeschützte Dateien zu verwenden. So möchten Hacker Sicherheitsprodukte daran hindern, schädliche Dokumente zu scannen. Einerseits zeigen diese Malware-Attacken die Bemühungen der Emotet-Betreiber, ihre Angriffe noch effektiver zu gestalten. Andererseits müssen die User sich auf neue Digitale-Bedrohungen einstellen.

Dazu gab es in diesem Jahr eine weitere wichtige Entwicklung: Die Entdeckungen von Buer und BazarLoader – neue Ladeprogramme für die Verbreitung von Ryuk-Ransomware. Jedenfalls wird spekuliert, dass der Bekanntheitsgrad von Emotet Cyber-Kriminelle motiviert hat neue “Loader-as-a-Service”-Angebote auszuprobieren. Denn die beiden neuen Lader nutzen, im Gegensatz zu Emotet, Cloud-Speicher wie Google Docs für die Payload-Übermittlung. Emotet hingegen verwendet kompromittierte Websites.

Wahrscheinlich setzen Hacker neuartige Ladeprogramme ein, um von Sicherheitssoftware unentdeckt zu bleiben. Genauso kann es an der günstigeren Preisgestaltung der „Provider“ liegen. Allerdings müssen wir uns in Zukunft darauf einstellen, mit mehr Akteuren zu rechnen, die neue Dienste für Ransomware- Attacken anbieten.