Shade Ransomware betreibt den Betrieb
Ein kürzlich veröffentlichter Bericht besagt, dass die Shade-Betreiber alle ihre Operationen beenden würden. Damit endet der am längsten laufende Ransomware-Stamm seit 2014, als die Sicherheitsforscher feststellten, dass die Daten des Opfers verschlüsselt wurden. Die Bande der Kriminellen war von diesem Zeitpunkt an aktiv, und Kampagnen wurden mit einer ziemlich konstanten Geschwindigkeit durchgeführt. Ihre Aktivitäten fielen mit ihren Ankündigungen von einer Klippe:
„Wir sind das Team, das einen Trojaner-Verschlüsseler entwickelt hat, der hauptsächlich als Shade, Troldesh oder Encoder bekannt ist.858. Tatsächlich haben wir die Verteilung Ende 2019 eingestellt. Jetzt haben wir beschlossen, den letzten Punkt in dieser Geschichte zu setzen und alle Entschlüsselungsschlüssel zu veröffentlichen, die wir haben (insgesamt über 750.000). Wir veröffentlichen auch unsere Entschlüsselung soft; Wir hoffen auch, dass Antiviren-Unternehmen mit den Schlüsseln ihre eigenen benutzerfreundlicheren Entschlüsselungstools herausgeben. Alle anderen Daten im Zusammenhang mit unserer Aktivität (einschließlich der Quellcodes des Trojaners) wurden unwiderruflich vernichtet. Wir entschuldigen uns bei allen Opfern des Trojaners und hoffen, dass die von uns veröffentlichten Schlüssel ihnen helfen, ihre Daten wiederherzustellen. “
Die Bande ging 2019 zu GitHub, um diese Ankündigung zu machen. Diese Nachricht bestätigt, dass die Bande rund 750.000 Entschlüsselungsschlüssel freigegeben hat, um den Opfern zu helfen, ihre Dateien zurückzubekommen. Sie taten aus gutem Glauben. Der Forscher von Kaspersky Labs, Sergey Golovanov, hat diese Schlüssel bereits überprüft. Die Sicherheitsfirma arbeitet derzeit an einem Entschlüsselungstool, das den Entschlüsselungsprozess erheblich vereinfachen würde. Es wurde nichts über die Daten angekündigt, wann dieses Tool veröffentlicht wird. Es kann jedoch davon ausgegangen werden, dass dies in naher Zukunft verfügbar sein wird. Kaspersky Labs haben Erfahrung mit Shade, als sie mehrere Entschlüsselungswerkzeuge herausbrachten.
Die Freigabe des Werkzeugs kann zwar als Treu und Glauben angesehen werden, ist jedoch mit einer Reihe von Einschränkungen verbunden. Es ist richtig, dass die Veröffentlichung des Tools einer Reihe von Opfern den Zugriff auf ihre von der Ransomware verschlüsselten Daten erleichtert. Diese Version des Tools unterstützt den Kaspersky dabei, einen dringend benötigten Entschlüsseler zu erstellen.
Wie bereits in der Einleitung erwähnt, begann die Geschichte der Schatten-Ransomware im Jahr 2014. Die Bande verteilte sie über Spam-E-Mail-Kampagnen und nutzte beide Kits. Es war keine perfekte Belastung, wie mehrere Entschlüsselungsprogramme zeigen, die von Kaspersky und anderen Sicherheitsfirmen entwickelt wurden. Die erste Verteilungsmethode wurde von Avast entdeckt. Es fand im Juni 2019 statt, als die Sicherheitsfirma 100.000 Instanzen von Ransomware blockieren konnte, die als Troldesh verfolgt wurden. Die Kampagne richtete sich an Einzelpersonen in den USA, Großbritannien und Deutschland. Die mit Abstand größte Entdeckung erfolgte jedoch in Russland und Mexiko. Avast stellte fest, dass die Ransomware über Spam-E-Mails verbreitet wurde und Instanzen der Malware über soziale Medien und Messaging-Plattformen verbreitet wurden. Sie bemerkten weiter:
„Wir sehen einen Anstieg in der Anzahl seiner Angriffe, der wahrscheinlich eher mit Troldesh-Betreibern zu tun hat, die versuchen, diese Belastung härter und effektiver voranzutreiben als jede Art von bedeutendem Code-Update. Troldesh verbreitet sich seit Jahren in freier Wildbahn mit Tausenden von Opfern mit freigelassenen Akten und wird wahrscheinlich noch einige Zeit weit verbreitet sein. “
Die zweite Kampagne wurde von MalwareBytes analysiert. Sie haben es getan, als sie einen Anstieg bei einer Erkennung verzeichneten, die Ende 2018 begann und bis zur Hälfte des ersten Quartals 2019 andauerte. Der Anstieg in der Aktivität schien, dass Ransomware-Banden die Verbreitung zugunsten der Verbreitung anderer Malware verlangsamten wie Cryptocurrency Miner.
Wiederum wurde die Ransomware durch Anhängen des Schadcodes in einer Datei als Anhang einer Spam-E-Mail verbreitet. Die Datei war oft eine Zip-Datei, wenn sie geöffnet wurde – sie extrahierte eine JavaScript-Datei, die die Nutzdaten der Ransomware enthielt. Nach der Ausführung beginnt die Infektion mit der Dateiverschlüsselung und deren Anhängen mit einem bestimmten Erweiterungsnamen. Daraufhin erschien eine TXT-Datei mit einer Anweisung, wie das Lösegeld zu zahlen ist, damit Dateien entschlüsselt werden. Die Forscher stellten fest:
„Opfer von Troldesh erhalten einen eindeutigen Code, eine E-Mail-Adresse und eine URL zu einer Zwiebeladresse. Sie werden gebeten, sich unter Angabe ihres Codes an die E-Mail-Adresse zu wenden oder weitere Anweisungen auf der Zwiebelseite zu erhalten. Es wird nicht empfohlen, die Lösegeldautoren zu bezahlen, da Sie ihre nächste Angriffswelle finanzieren werden. Was Troldesh von anderen Ransomware-Varianten unterscheidet, ist die große Anzahl von Readme # .txt-Dateien mit dem Lösegeldschein auf dem betroffenen System und der Kontakt per E-Mail mit dem Bedrohungsakteur. Andernfalls wird ein klassischer Angriffsvektor verwendet, der stark davon abhängt, nicht informierte Opfer auszutricksen. Trotzdem war es in der Vergangenheit und in der aktuellen Angriffswelle recht erfolgreich. Die verfügbaren kostenlosen Entschlüsseler funktionieren nur bei einigen älteren Varianten, sodass sich die Opfer wahrscheinlich auf Backups oder Rollback-Funktionen verlassen müssen. “
Während eine Bande beschlossen hat, alle Operationen einzustellen, ist es für viele ein normales Geschäft. Deshalb sollten Sie die Wache nicht im Stich lassen. Das Threat Protection Intelligence-Team von Microsoft hat eine Warnung ausgegeben, dass die Angreifer diesmal nicht damit gedroht haben, die Daten öffentlich freizugeben. Dies bedeutet nicht, dass sie sie nicht gestohlen haben. Ferner erklärten sie:
„Mehrere Ransomware-Gruppen, die seit mehreren Monaten Zugriff auf Zielnetzwerke sammeln und diese beibehalten, haben in den ersten beiden Aprilwochen 2020 Dutzende von Ransomware-Bereitstellungen aktiviert. Bisher waren Hilfsorganisationen, medizinische Abrechnungsunternehmen, Fertigung, Transport und Regierung von den Angriffen betroffen Institutionen und Anbieter von Bildungssoftware zeigen, dass diese Ransomware-Gruppen die kritischen Dienste, auf die sie sich auswirken, trotz der globalen Krise kaum berücksichtigen. Diese Angriffe beschränken sich jedoch nicht nur auf kritische Dienste. Daher sollten Unternehmen auf Anzeichen von Kompromissen achten. “
Sie sollten sich gegen das Opfer der Ransomware-Banden verteidigen. Microsoft empfiehlt den Netzwerkadministratoren, PowerShell, Cobalt Strike und andere Penetrationstest-Tools zu durchsuchen. Sie sollten auch nach verdächtigem Zugriff auf den Subsystemdienst der lokalen Sicherheitsbehörde und nach verdächtigen Registrierungsänderungen sowie nach Hinweisen auf Manipulationen an Sicherheitsprotokollen suchen. Diese Hinweise sind auf diese Schwachstellen zurückzuführen:
- RDP- oder Virtual Desktop-Endpunkte ohne Multi-Faktor-Authentifizierung
- Microsoft Exchange-Server, die von CVE-2020-0688 betroffen sind
- Zoho ManageEngine-Systeme, die von CVE-2020-10189 betroffen sind
- Von CVE-2019-19781 betroffene Citrix ADC-Systeme
- Pulse Secure VPN-Systeme, die von CVE-2019-11510 betroffen sind
- Von CVE-2019-0604 betroffene Microsoft SharePoint-Server