Royale Ransomware: Neuer Kryptotrojaner identifiziert

Ein Artikel von Dunja Koelwel | 10.02.2020 - 13:27

Nach Einschätzung der Experten ist der Next-Generation-Kryptotrojaner durch die Verwendung des betroffenen Domänencontroller (um die Malware zu verbreiten) und PowerShell (um die Malware zu öffnen und auszuführen) darauf ausgelegt, ganze Unternehmens-Infrastrukturen lahmzulegen. Dies scheint für die Cyberkriminellen die lukrativste Strategie zu sein, da sie durch den Zugriff auf das Domain-Administratorkonto auch andere Möglichkeiten eines Angriffs hätten, wie Kryptojacking oder Datendiebstahl.

SYSVOL ist ein zentraler Ordner auf jedem Domänencontroller, der für die Bereitstellung von Richtlinien (GPO) und Anmeldeskripts auf Domänen-Workstations verwendet wird. Der Inhalt des SYSVOL-Ordners wird zwischen den Domänencontrollern repliziert, um die Daten synchron zu halten. Das Schreiben in SYSVOL erfordert entsprechend hohe Domänenberechtigungen. Wenn diese jedoch kompromittiert werden, ist dies ein leistungsstarkes Werkzeug für Angreifer, die es zur schnellen Verbreitung bösartiger Inhalte in der Domäne verwenden können. Folglich bringt die Kontrolle über ein Domain-Administratorkonto Angreifern eine Vielzahl an Möglichkeiten für kriminelle Aktivitäten. So wären sie auch in der Lage gewesen, gezielt nach wertvollen Informationen zu suchen oder Unternehmensressourcen für Kryptomining zu kapern.

Während die eigentliche Ransomware relativ konventionell agiert, nutzen die Malware-Entwickler Active Directory auf kreative Art und Weise zur Verbreitung des Droppers. Insofern stellt dieser neue Verschlüsselungstrojaner ein erhebliches Gefahrenpotenzial dar und unterstreicht jüngste Beobachtungen, die darauf hindeuten, dass auch Ransomware immer ausgefeilter wird.

 

5 Tipps zum Schutz vor Ransomware

  • Halten Sie Ihre Antiviren- und Endpunktschutzsoftware stets auf dem neuesten Stand: Diese Lösungen können dazu beitragen, bestimmte Arten von Ransomware zu erkennen und die Verschlüsselung Ihrer Dateien zu verhindern.
  • Sensibilisieren Sie Ihre Mitarbeiter für Phishing: Phishing-Mails sind nach wie vor der beliebteste Angriffsweg für Ransomware.
  • Erstellen Sie Backups Ihrer Dokumente: Es ist wesentlich schneller und einfacher, Ihre Dokumente aus einem Backup wiederherzustellen, als sie zu entschlüsseln, wenn sie bei einem Ransomware-Angriff kompromittiert wurden.
  • Setzen Sie auf ein Zero-Trust/Least-Privilege-Modell: Ransomware kann nur die Ordner betreffen, in welche der kompromittierte Benutzer schreiben kann. Die Begrenzung der Zugriffe nach dem „need-to-know“-Prinzip, bei dem Mitarbeiter nur auf die Daten zugreifen können, die sie auch tatsächlich für ihre Arbeit benötigen, reduziert das Risiko und eine mögliche Ausbreitung auf das Minimum.
  • Überwachen Sie die Dateiaktivität und das Benutzerverhalten: Durch die intelligente Analyse des Nutzerverhaltens (UBA) kann abnormales Verhalten (wie die massenhafte Verschlüsselung von Dateien) identifiziert und gestoppt werden.