Ransomware nutzt Verschlüsselung als Tarnung

Die neue LockFile-Bedrohung nutzt eine Methode, die noch nie zuvor bei Ransomware-Angriffen eingesetzt wurde. Und das, um noch mehr Opfer zu fordern. Die sogenannte intermittierende Verschlüsselung, die von Sophos Forschern aufgedeckt wurde, scheint ProxyShell-Schwachstellen in Microsoft Exchange-Servern auszunutzen, um in Systeme einzudringen, die diese Schwachstellen noch nicht gepatcht haben.

Die Taktik der LockFile Ransomware basiert auf der Verschlüsselung von nur 16-Byte-Paketen innerhalb einer Datei anstelle des gesamten Inhalts. Dies führt dazu, dass das verschlüsselte Dokument dem Original statistisch gesehen sehr ähnlich ist und die Erkennung des Eindringens durch einige Schutzlösungen verhindert wird.

Für Sophos ist das auffälligste Merkmal dieser Ransomware nicht, dass sie diese Teilverschlüsselung vornimmt. Die Gruppen LockBit 2.0, DarkSide und BlackMatter sind beispielsweise dafür bekannt, dass sie nur einen Teil der Dokumente verschlüsseln, um den Verschlüsselungsprozess schneller abzuschließen. Das Besondere an LockFile ist, dass es nicht die ersten Blöcke verschlüsselt, sondern die nächsten 16 Bytes des Dokuments, so dass es teilweise lesbar ist.

Der Vorteil dieses Ansatzes besteht darin, dass die intermittierende Verschlüsselung die statistische Analyse verzerrt und einige Schutztechnologien verwirrt. Beispielsweise werden der Chi-Quadrat-Test von Pearson und seine Varianten von einigen Ransomware-Lösungen verwendet, um festzustellen, ob es einen statistisch signifikanten Unterschied zwischen Proben gibt. Vergleicht man die Wirkung von LockFile und DarkSide auf eine 481 KB große Textdatei mit einem ursprünglichen Chi-Quadrat-Wert von 3850061, so zeigt sich, dass das von DarkSide verschlüsselte Dokument nun einen Wert von 334 erhält, was ein klarer Hinweis darauf ist, dass die Datei verschlüsselt wurde. Wenn dasselbe Dokument durch die LockFile-Ransomware verschlüsselt wird, bleibt die aufgezeichnete Punktzahl signifikant hoch (1789811), was den Verdacht des Eindringens schließlich ausräumt.

Der Name der verschlüsselten Dokumente verwendet Kleinbuchstaben und die Erweiterung .lockfile. Anstatt eine Lösegeldforderung im TXT-Format einzufügen, verwendet LockFile eine HTML-Anwendungsdatei (HTA), ähnlich der, die von der LockBit 2.0 Ransomware verwendet wird, so die Sophos Forscher. In der Warnung werden die Opfer aufgefordert, sich an die E-Mail-Adresse contact@contipauper.com zu wenden. Die Domain, die am 16. August 2021 erstellt wurde, könnte ein abfälliger Verweis auf eine konkurrierende Ransomware-Gruppe namens Conti sein.

LockFile verwendet auch Memory-Mapped Input/Output (I/O), um zwischengespeicherte Dateien zu verschlüsseln und sie mit minimalem Festplattenzugriff zu schreiben – ein weiteres Mittel, um Erkennungstechniken zu umgehen. Mit dieser Technik kann Ransomware schneller auf Dokumente zugreifen, um sie zu verschlüsseln, und dann das Betriebssystem veranlassen, sie in einer vom bösartigen Prozess selbst getrennten Aktion auf die Festplatte zu schreiben. Durch die Anwendung dieses Tricks kann LockFile die Erkennung durch einige verhaltensbasierte Anti-Ransomware-Lösungen vermeiden.

Eine weitere Methode, mit der LockFile seine Erkennung erschwert, ist die Tatsache, dass es keine Verbindung zu einem Command und Control Center benötigt.

Um sich zu verbreiten, nutzt LockFile Ransomware eine Reihe von Sicherheitslücken in Microsoft Exchange-Servern aus, die als ProxyShell bekannt sind (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207). Obwohl seit April und Mai Patches für diese Schwachstellen verfügbar sind, haben viele Unternehmen sie noch nicht auf ihre Server angewendet, was sie zu einer leichten Beute für Ransomware-Angriffe wie den von LockFile macht.