Der Ransomware-Baukasten Chaos, der jetzt in Yashma umbenannt wurde, wird laufend weiterentwickelt und von cyberkriminellen Gruppen übernommen. [...]
Der Chaos Ransomware Builder begann letztes Jahr als fehlerhafte und wenig überzeugende Imitation des berüchtigten Ryuk Ransomware-Kits. Seitdem hat es eine aktive Entwicklung und schnelle Verbesserungen erfahren, die verschiedene Angreifergruppen davon überzeugt haben, es zu übernehmen. Die neueste Version mit dem Namen Yashma wurde erstmals Mitte Mai in freier Wildbahn beobachtet und enthält mehrere Verbesserungen.
Eine erfolgreiche Ransomware-Operation mit dem Namen Onyx traf im vergangenen Jahr Notdienste, medizinische Einrichtungen und Organisationen aus verschiedenen anderen Branchen in den USA. Nach Angaben von Sicherheitsforschern wird dabei eine Variante der Chaos-Ransomware verwendet.
„Was Chaos/Yashma in Zukunft so gefährlich macht, ist seine Flexibilität und seine weite Verbreitung“, so die Forscher von BlackBerry in einem aktuellen Bericht [engl.]. „Da die Malware zunächst als Malware-Builder verkauft und verbreitet wird, kann jeder potenzielle Angreifer, der die Malware erwirbt, die Aktionen der Bedrohungsgruppe, die hinter Onyx steht, nachahmen, indem er seine eigenen Ransomware-Stämme entwickelt und ausgewählte Opfer ins Visier nimmt.“
Die bescheidenen Anfänge von Chaos-Ransomware und ihr aggressives Marketing
Der Chaos Ransomware Builder erschien im Juni 2021 unter dem Namen Ryuk .NET Ransomware Builder v1.0. Ein Builder ist ein Closed-Source-Programm, das Malware-Autoren ihren Kunden zur Verfügung stellen, um die Malware anzupassen und eine bösartige Binärdatei mit diesen Eigenschaften zu erzeugen, die sie verwenden können. Auf diese Weise können verschiedene cyberkriminelle Gruppen, die dasselbe Malware-Programm erworben haben, beispielsweise unterschiedliche Command-and-Control-Server verwenden oder ihre Malware für jedes Opfer individuell anpassen.
Trotz des Namens hat der Ryuk .NET Ransomware Builder nichts mit dem Ryuk-Ransomware-Programm zu tun, das seit 2018 Hunderte von Unternehmen weltweit infiziert hat. Ryuk ist die Schöpfung einer Gruppe, die in der Sicherheitsbranche als Wizard Spider bekannt ist und für die Entwicklung des Nachfolgers von Ryuk, Conti, sowie des TrickBot-Botnetzes verantwortlich sein soll.
Laut den BlackBerry-Forschern wurde der Ryuk .NET Ransomware Builder, als er zum ersten Mal in Untergrundforen beworben wurde, von den Cyberkriminellen negativ aufgenommen. Viele waren nicht erfreut über die falsche Werbung mit dem Namen Ryuk, zumal die vom Builder erstellte Ransomware viele Funktionen vermissen ließ und als reiner Dateiwischer fungierte.
Die Malware zielte auf über 100 Dateierweiterungen ab, war aber so konzipiert, dass sie Dateien mit einer zufälligen Base64-Zeichenkette überschrieb. Im Gegensatz zur Verschlüsselung ist dieser Vorgang nicht umkehrbar, so dass die Dateien dauerhaft zerstört wurden.
Der Autor der Ransomware reagierte auf das negative Feedback und benannte ab Version 2 seinen Builder und seine Ransomware in Chaos um. Erst mit Version 3 erhielt die Malware die Fähigkeit, Dateien mit den Algorithmen AES und RSA zu verschlüsseln, allerdings nur Dateien, die kleiner als 1 MB waren. Diese Fähigkeit wurde in Chaos Builder v4.0, das im August veröffentlicht wurde, auf Dateien unter 2 MB erweitert, zusammen mit anderen Verbesserungen und Funktionen, darunter die Möglichkeit, das Desktop-Hintergrundbild des Opfers so zu ändern, dass es die Lösegeldforderung anzeigt, anpassbare Listen mit Dateierweiterungen, eine grafische Benutzeroberfläche für die Benutzer des Builders, die Verhinderung der Wiederherstellung durch Löschen von Schattenkopien des Windows-Dateisystems und Sicherungskatalogen sowie die Deaktivierung des Windows-Wiederherstellungsmodus.
Die Cyberkriminellen der Onyx-Gruppe treten auf den Plan
Die Version 4.0 des Chaos-Builders war auch deshalb von Bedeutung, weil sie im April 2022 von einer cyberkriminellen Gruppe übernommen wurde, die sich selbst Onyx nannte und die auch die Strategie der doppelten Datenleck-Erpressung umsetzte, die heutzutage bei den meisten Ransomware-Banden üblich ist.
„Im Gegensatz zur Standard-Chaos-Lösegeldforderung, die den betroffenen Opfern kaum Anweisungen oder Hinweise gab, implementierte die Gruppe hinter Onyx eine Leck-Site namens ‚Onyx News‘, die über eine Onion-Seite im anonymen Tor-Netzwerk gehostet wurde“, so die BlackBerry-Forscher. „Onyx nutzte diese Seite, um den Opfern weitere Informationen darüber zu geben, wie sie ihre Daten wiederherstellen können. Die Lösegeldforderung für Onyx enthielt die Adresse sowie die Anmelde- und Kennwortdaten, die es dem Opfer ermöglichten, sich anzumelden und mit den Bedrohungsakteuren hinter dem Ransomware-Angriff zu diskutieren.
Ransomware-Opfer und Sicherheitsforscher fanden jedoch schnell heraus, dass die Ransomware Onyx Dateien mit einer Größe von mehr als 2 MB zerstörte, und zwar aufgrund der Verschlüsselungsbeschränkung in der Ransomware Chaos, mit der sie 98 % ihres Codes gemeinsam hat.
Die BlackBerry-Forscher stießen auch auf ein Gespräch zwischen der Onyx-Bande und einem der Opfer auf der Verhandlungsseite, in dem jemand, der sich als Schöpfer des Chaos-Builders ausgab, versuchte, für die neueste Version seiner Ransomware zu werben und klarzustellen, dass diese nicht mehr über diese 2 MB-Dateibeschränkung verfügt. Der angebliche Chaos-Ersteller nutzte auch die Gelegenheit, um zu bestätigen, dass Onyx auf einer älteren Version seines Programms basiert.
Während ihrer kurzen Lebenszeit hat die Onyx-Bande in den USA ansässige Organisationen aus den Bereichen Finanzen, Wirtschaft, Medizin und Landwirtschaft sowie Notdienste angegriffen. Auch wenn nicht klar ist, in welcher Beziehung die Onyx-Bande zum Chaos-Erfinder steht, könnte der Erfolg der Bande das Interesse anderer Cyberkrimineller am Chaos-Ersteller wecken, zumal die Verschlüsselungsprobleme nun behoben sind.
Ein ernsthaftes Problem bei den Onyx-Angriffen ist, dass viele Dateien zerstört werden, was den Praktiken vieler Ransomware-Angreifer zuwiderläuft. Auch wenn es im Laufe der Zeit viele Ausnahmen gab, haben die meisten Ransomware-Banden in der Vergangenheit ihr Versprechen, Dateien zu entschlüsseln, eingehalten. Der wahrscheinliche Grund dafür ist der gute Ruf, denn sie wollen, dass die Opfer ihren Behauptungen vertrauen und zahlen.
Laut Christopher Boyd, Forscher bei Malwarebytes, ist dieser kriminelle Vertrauenskreislauf in den letzten Jahren erodiert, da einige Gruppen die Erpressung nach der Zahlung fortgesetzt haben. Außerdem gibt es heute viel mehr Gruppen als früher, die diese Art von Aktivitäten durchführen, und sie tauchen häufig auf und verschwinden wieder, so dass die Opfer keine Lösung finden. Dann gibt es noch fehlerhafte Ransomware wie Onyx (Chaos), die eine Wiederherstellung unmöglich macht.
„Im Jahr 2022 hat sich jeglicher Anschein von Erwartungen oder Vertrauen in die Autoren von Ransomware in Luft aufgelöst, und wird nie wiederkehren“, so Boyd in einem Blogbeitrag [engl.] im April. „Ransomware ist jetzt zu groß und zu unhandlich, um einen wirklichen Sinn in der erwarteten Funktionsweise zu erkennen. Was wir erwarten können, ist, dass die Erpressung weitergeht, auch nachdem das Lösegeld gezahlt wurde. Wie der Artikel feststellt, bedeutet die Kombination aus RaaS [Ransomware als Service], das relativ kurzlebig ist, und den Partnern, die meist ihr eigenes Ding machen, ohne Rücksicht auf die Erwartungen der Hauptgruppe, dass es quasi ein Freibrief für alle ist.“
Von Chaos zu Yashma
Das Verschlüsselungsproblem wurde in der Anfang 2022 veröffentlichten Version 5 von Chaos behoben, wodurch die Ransomware viel langsamer wurde, aber alle Dateigrößen verschlüsseln konnte. Diese Version fügte auch einen raffinierteren Entschlüsseler und die Fähigkeit hinzu, Dateien jenseits des Laufwerks C:\ zu verschlüsseln, was sie noch gefährlicher machte, aber ihr Schöpfer war noch nicht fertig.
Im Mai wurde der Ransomware-Builder mit der Veröffentlichung von Version 6, die nun Yashma heißt, erneut umbenannt. Mit dieser Version konnten die Angreifer die Ransomware so konfigurieren, dass sie je nach der auf dem Gerät des Opfers eingestellten Sprache nicht ausgeführt wird. Diese Technik wird häufig von Malware-Autoren verwendet, um zu verhindern, dass Computer in ihrem eigenen Land oder ihrer eigenen Region infiziert werden, was das Interesse der örtlichen Strafverfolgungsbehörden wecken würde. Darüber hinaus kann Yashma jetzt auch verschiedene Dienste auf den Computern der Opfer stoppen, darunter Antivirenprogramme, Backup-Dienste, Speicherdienste, Remote-Desktop-Dienste und Dienste zur Verwaltung von Anmeldeinformationen.
Bisher gab es nur wenige Infektionen mit Yashma in freier Wildbahn, aber diese Zahl könnte sich leicht erhöhen, vor allem, da der Builder in Untergrundforen leicht zugänglich ist. Es gibt sogar geleakte Versionen, für die die Cyberkriminellen nicht bezahlen müssen.
„Die Verfolgung von Ransomware-Angriffen, die Chaos zugeschrieben werden, ist recht schwierig, da sich die Indikatoren für die Kompromittierung (IOCs) mit jedem Muster, das ein Malware-Hersteller produziert, ändern können“, so die BlackBerry-Forscher. „Darüber hinaus können selbst unerfahrene Bedrohungsakteure Links zu Veröffentlichungen und Lecks dieser Bedrohung in Dark-Web-Foren oder Malware-Repositories von Drittanbietern finden und Chaos/Yashma dann für zukünftige bösartige Aktivitäten nutzen.
Die BlackBerry-Forscher haben in ihrem Bericht [engl.] sowohl bekannte Indikatoren für eine Kompromittierung als auch die YARA-Erkennungsregeln aufgeführt.
*Lucian Constantin ist Senior-Autor bei CSO und berichtet über Informationssicherheit, Privatsphäre und Datenschutz.
Be the first to comment