DarkSide Ransomware

Yogesh Patil, Principal Malware Research Engineer, Qualys

Die DarkSide Ransomware ist eine relativ neue Form von Ransomware, die Angreifer bereits gegen eine Reihe umsatzstarker Großunternehmen eingesetzt haben, um sensible Daten zu verschlüsseln, zu stehlen und ihre Veröffentlichung für den Fall anzudrohen, dass das geforderte Lösegeld nicht gezahlt wird. Angesichts der potenziellen Auswirkungen beschreiben wir hier die Mechanismen, die diese Ransomware anwendet, damit Sicherheitsteams das Risiko für ihr Unternehmen besser einschätzen können. Außerdem empfehlen wir Best Practices, die das Risiko eines erfolgreichen Angriffs verringern.

Über die DarkSide Ransomware

Die DarkSide Ransomware tauchte erstmals im August 2020 auf und wurde im März 2021 auf v2.0 aktualisiert. Sie wird mit der DarkSide-Gruppe in Verbindung gebracht und mittlerweile oft als Ransomware-as-a-Service (RaaS) angeboten. Die DarkSide Ransomware-Gruppe ist bekannt dafür, ihre Opfer gleich zweifach zu erpressen: Sie verlangt Geld sowohl für die Entsperrung der betroffenen Computer als auch für die Herausgabe der ausgeschleusten Daten.

Die Techniken, die die Angreifer bei der DarkSide Ransomware einsetzen, können sehr ausgefeilt sein: Erstzugriff durch die Ausnutzung öffentlich zugänglicher Anwendungen (z. B. RDP), Rechteausweitung und Behinderung von Abwehrmaßnahmen. Die DarkSide-Ransomware nutzt die Sicherheitslücken CVE-2019-5544 und CVE-2020-3992 aus. Patches für beide Lücken sind weithin verfügbar, doch die Angreifer haben es auf Unternehmen abgesehen, die ungepatchte oder ältere Software-Versionen verwenden. Bei der Verschlüsselung erstellt die DarkSide Ransomware eine spezifische Erpressernachricht und Dateierweiterung für ihre Opfer.

Wenngleich DarkSide Berichten zufolge nach dem sechstägigen Ausfall der Colonial Pipeline Anfang Mai dichtgemacht hat, unternimmt die US-Regierung weiter erhebliche Anstrengungen, um die Ransomware-Industrie als potenzielle Bedrohung der nationalen Sicherheit zu bekämpfen. Unternehmen sollten weiterhin in Maßnahmen investieren, um das Risiko eines erfolgreichen Angriffs zu verringern und Prozesse zur Reaktion auf Angriffe zu implementieren.

Technische Details

Erstzugriff

Die DarkSide Ransomware führt Brute-Force-Angriffe durch und nutzt bekannte Schwachstellen im Remote Desktop Protocol (RDP) aus, um sich ersten Zugriff zu verschaffen. Nachdem das gelungen ist, führt die DarkSide Ransomware eine Validierung auf den Rechnern aus, die infiziert werden sollen. Bei der anfänglichen Code-Ausführung sammelt die Ransomware Informationen zu den Computernamen und der Systemsprache. DarkSide zielt offenbar auf englischsprachige Länder ab. Die DarkSide Ransomware überprüft die Standard-Systemsprache wie unten dargestellt.

Rechteausweitung und Seitwärtsbewegung

Die Rechteausweitung besteht aus Techniken, die eingesetzt werden, um höhere Berechtigungen auf einem System oder in einem Netzwerk zu erlangen. Bei einem Angriff zur Rechteausweitung macht sich ein böswilliger Benutzer einen Programm- oder Konfigurationsfehler in einer Anwendung oder einem Betriebssystem zunutze. Ziel der Rechteausweitung ist es, erweiterten Zugriff auf Ressourcen zu erhalten, die dem Benutzer eigentlich nicht zur Verfügung stehen dürften. Die DarkSide Ransomware prüft, ob der Benutzer über Administratorrechte verfügt; falls nicht, versucht sie, Administratorrechte zu erwerben, indem sie eine UAC-Umgehungstechnik einsetzt und dabei das CMSTPLUA COM-Interface nutzt, wie nachfolgend gezeigt.

Datenexfiltration

Die DarkSide Ransomware ermittelt Anwendungen zur Datensicherung, schleust die Daten aus und verschlüsselt dann im Rahmen der Ransomware-Verteilung lokale Dateien.

Löschen von Volumenschattenkopien

Ransomware-Kampagnen versuchen oft, die Volumenschattenkopien der Dateien auf dem jeweiligen Computer zu löschen, damit ihre Opfer nicht in der Lage sind, mithilfe dieser Schattenkopien den Dateizugriff wiederherzustellen. Die DarkSide Ransomware löscht die Volumenschattenkopien über PowerShell-Skripte.

Behinderung von Abwehrmaßnahmen

Mit der Technik Behinderung von Abwehrmaßnahmen deaktiviert DarkSide Schutzvorrichtungen, um eine mögliche Erkennung seiner Tools und Aktivitäten zu verhindern. Zum Beispiel könnten Sicherheitssoftware oder Prozesse zur Ereignisprotokollierung beendet werden; Registry-Schlüssel könnten gelöscht werden, damit Tools zur Laufzeit nicht gestartet werden; oder es werden andere Methoden angewandt, um Scans oder die Berichterstellung durch Sicherheitstools zu behindern. Die DarkSide Ransomware löscht die Dienste wie nachstehend dargestellt.

Ransomware-Ausführung

Die Ransomware generiert die spezifische Dateierweiterung auf Basis der Rechner-GUID und nutzt dabei die API RtlComputeCRC32. Die mit der Rechner-GUID generierte Dateierweiterung besteht aus 8 Zeichen und wird dem Namen jeder verschlüsselten Datei hinzugefügt.

Um die Erkennung der Ransomware zu verhindern, verwendet DarkSide verschlüsselte APIs, Strings und Lösegeldforderungen. Die APIs werden dynamisch aufgelöst, wie unten gezeigt.

Einige Dateien schließt die DarkSide Ransomware auf Basis der Dateierweiterung aus. Zur Veschlüsselung der Dateien verwendet DarkSide Salsa20 und einen zufallsgenerierten Schlüssel, der mit der RtlRandomEx-API erzeugt und mit einem öffentlichen RSA-1024-Schlüssel verschlüsselt wird.

Ausgenutzte Schwachstellen

Wie ZDNet berichtet, können Ransomware-Akteure virtuelle Infrastrukturen über schwache Versionen des Hypervisors VMware ESXi angreifen. Die DarkSide-Angreifer nutzen die Sicherheitslücken CVE-2019-5544 und CVE-2020-3992 in VMware ESXi. Zwar sind beide Lücken gepatcht, doch nehmen die Angreifer immer noch Unternehmen ins Visier, die ungepatchte oder ältere Versionen dieser Software verwenden. Die Sicherheitslücken befinden sich im Dienst OpenSLP (Service Layer Protocol), mit dem mehrere virtuelle Maschinen in VMware ESXi Informationen auf einem einzigen Server speichern können.

Bekannte Angriffsvektoren

  • CVE-2019-5544
    Ein böswilliger Akteur, der Netzwerkzugriff auf Port 427 auf einem ESXi-Host oder auf einer Horizon DaaS-Management-Appliance hat, könnte den Heap des OpenSLP-Dienstes überschreiben, was Remotecodeausführung ermöglicht.
  • CVE-2020-3992
    Ein böswilliger Akteur, der sich im Managementnetz befindet und Zugriff auf Port 427 auf einer ESXi-Maschine hat, könnte einen Use-after-Free-Fehler im OpenSLP-Dienst auslösen, was Remotecodeausführung ermöglicht.

Erkennung, Entschärfung und zusätzliche wichtige Sicherheitsmaßnahmen

  • Schützen Sie Benutzerkonten mit sicheren, einzigartigen Passwörtern.
  • Deaktivieren Sie das RDP, wenn es nicht verwendet wird. Wenn RDP benötigt wird, ändern Sie den RDP-Port auf einen nicht standardmäßigen Port.
  • Konfigurieren Sie die Firewall folgendermaßen:
    • Verweigern Sie öffentlichen IPs den Zugriff auf wichtige Ports (in diesem Fall RDP-Port 3389)
    • Erlauben Sie Zugriff nur auf IP6, die unter Ihrer Kontrolle sind.
  • Verwenden Sie ein VPN für den Netzwerkzugriff, statt RDP aus dem Internet erreichbar zu machen. Implementieren Sie ggf. eine Zwei-Faktor-Authentifizierung (2FA).
  • Legen Sie eine Sperrrichtlinie fest, die das Erraten von Anmeldedaten verhindert.
  • Wenn Sie den Zugriff auf freigegebene Netzwerkordner verwalten, erstellen Sie für jeden Benutzer einen eigenen Netzwerkordner.

Regelmäßige Datensicherung

  • Schützen Sie Systeme vor Ransomware, indem Sie wichtige Dateien regelmäßig sichern und eine aktuelle Sicherungskopie offline aufbewahren. Verschlüsseln Sie Ihr Backup.
  • Falls Ihr Rechner mit Ransomware infiziert wird, können Ihre Dateien aus dem Offline-Backup wiederhergestellt werden, sobald die Malware entfernt wurde.
  • Verwenden Sie stets eine Kombination aus Online- und Offline-Sicherung.
  • Sorgen Sie dafür, dass keine Offline-Backups mit Ihrem System verbunden sind, da diese Daten sonst während des Ransomware-Angriffs verschlüsselt werden könnten.

Software auf dem neuesten Stand halten

  • Halten Sie Ihre Sicherheitssoftware (Antivirus, Firewall usw.) immer auf dem neuesten Stand, um Ihren Rechner vor neuen Malware-Varianten zu schützen.
  • Patchen und aktualisieren Sie Anwendungen, Software und Betriebssysteme regelmäßig, um ausnutzbare Software-Schwachstellen zu beseitigen.
  • Laden Sie keine gecrackte/raubkopierte Software herunter, da sie Hintertüren enthalten kann.
  • Vermeiden Sie das Herunterladen von Software von nicht vertrauenswürdigen P2P- oder Torrent-Websites, da sich dort oft schädliche Software befindet.

Nur minimale Berechtigungen vergeben

  • Geben Sie den Benutzern keine administrativen Rechte. Bleiben Sie nicht als Administrator angemeldet, wenn es nicht unbedingt erforderlich ist. Vermeiden Sie es außerdem, Dokumente zu durchsuchen, zu öffnen oder andere reguläre Arbeitsaufgaben auszuführen, während Sie als Administrator angemeldet sind.

Erkennung und Entschärfung

Um einen DarkSide Ransomware-Angriff zu erkennen, sollten Sie nicht nur nach Angriffscode Ausschau halten, sondern auch nach Anzeichen für die oben beschriebenen Techniken der Rechteausweitung, der Behinderung von Abwehrmaßnahmen und der Datenexfiltration. Um festzustellen, ob Ihr Unternehmen von der DarkSide Ransomware betroffen ist, überprüfen Sie die clientseitigen Geräte und Anwendungen auf Anzeichen für einen nicht autorisierten Zugriff. Um eine mögliche Datenexfiltration zu erkennen, halten Sie nach ungewöhnlichen Mustern im ausgehenden Datenverkehr Ausschau.

Qualys Multi-Vector EDR bietet integrierte Funktionen für Endpunktschutz, die Ihre Endpunkte umfassender gegen solche Angriffe absichern. Anti-Malware schützt Endpunkte proaktiv vor bekannten Bedrohungen, während EDR die Erkennungsfunktionen erweitert: EDR erfasst Aktivitäten und Telemetriedaten von den Endpunkten, um unbekannte Zero-Day-Bedrohungen und speicherbasierte Angriffe zu erkennen und zu entschärfen. Wenn ein Symptom festgestellt wird, das auf eine Kompromittierung oder einen Angriff hindeutet, vermittelt EDR tieferen Einblick und ergänzenden Kontext. So gewinnen die Incident Responder und Threat Hunter das vollständige Bild von dem betroffenen Endpunkt, das sie für eine Ursachenanalyse brauchen. Qualys Multi-Vector EDR bietet Schutz, Erkennung und Reaktionsmöglichkeiten auf Basis vielfältiger Erkennungsfunktionen: Echtzeit-Anti-Malware-Technologie, Anti-Exploit-Speicherschutz, Endpunkt-Telemetrie und -Korrelation zur Ermittlung verdächtigen und bösartigen Verhaltens, branchenführende Threat Intelligence und Mitre ATT&CK-Taktiken und -Techniken.

Übersicht über die TTPs der DarkSide Ransomware

Ausgenutzte Schwachstellen

  • CVE-2019-5544
  • CVE-2020-3992

IOCs

SHA-256

12ee27f56ec8a2a3eb2fe69179be3f7a7193ce2b92963ad33356ed299f7ed975
17139a10fd226d01738fe9323918614aa913b2a50e1a516e95cced93fa151c61
43e61519be440115eeaa3738a0e4aa4bb3c8ac5f9bdfce1a896db17a374eb8aa
afb22b1ff281c085b60052831ead0a0ed300fac0160f87851dacc67d4e158178
f764c49daffdacafa94aaece1d5094e0fac794639758e673440329b02c0fda39

Quellen