{"id":2457,"date":"2021-09-08T10:45:39","date_gmt":"2021-09-08T10:45:39","guid":{"rendered":"https:\/\/network-king.net\/ransomware-nutzt-verschluesselung-als-tarnung\/"},"modified":"2022-03-23T08:51:04","modified_gmt":"2022-03-23T08:51:04","slug":"ransomware-nutzt-verschluesselung-als-tarnung","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/ransomware-nutzt-verschluesselung-als-tarnung\/","title":{"rendered":"Ransomware nutzt Verschl\u00fcsselung als Tarnung"},"content":{"rendered":"\n<p>Die neue LockFile-Bedrohung nutzt eine Methode, die noch nie zuvor bei Ransomware-Angriffen eingesetzt wurde. Und das, um noch mehr Opfer zu fordern. Die sogenannte intermittierende Verschl\u00fcsselung, die <a href=\"https:\/\/news.sophos.com\/en-us\/2021\/08\/27\/lockfile-ransomwares-box-of-tricks-intermittent-encryption-and-evasion\/\" target=\"_blank\" rel=\"noreferrer noopener\">von Sophos<\/a> Forschern aufgedeckt wurde, scheint ProxyShell-Schwachstellen in Microsoft Exchange-Servern auszunutzen, um in Systeme einzudringen, die diese Schwachstellen noch nicht gepatcht haben.<\/p>\n\n\n\n<p>Die Taktik der LockFile Ransomware basiert auf der Verschl\u00fcsselung von nur 16-Byte-Paketen innerhalb einer Datei anstelle des gesamten Inhalts. Dies f\u00fchrt dazu, dass das verschl\u00fcsselte Dokument dem Original statistisch gesehen sehr \u00e4hnlich ist und die Erkennung des Eindringens durch einige Schutzl\u00f6sungen verhindert wird.<\/p>\n\n\n\n<p>F\u00fcr Sophos ist das auff\u00e4lligste Merkmal dieser Ransomware nicht, dass sie diese Teilverschl\u00fcsselung vornimmt. Die Gruppen LockBit 2.0, DarkSide und BlackMatter sind beispielsweise daf\u00fcr bekannt, dass sie nur einen Teil der Dokumente verschl\u00fcsseln, um den Verschl\u00fcsselungsprozess schneller abzuschlie\u00dfen. Das Besondere an LockFile ist, dass es nicht die ersten Bl\u00f6cke verschl\u00fcsselt, sondern die n\u00e4chsten 16 Bytes des Dokuments, so dass es teilweise lesbar ist.<\/p>\n\n\n\n<p>Der Vorteil dieses Ansatzes besteht darin, dass die intermittierende Verschl\u00fcsselung die statistische Analyse verzerrt und einige Schutztechnologien verwirrt. Beispielsweise werden der Chi-Quadrat-Test von Pearson und seine Varianten von einigen Ransomware-L\u00f6sungen verwendet, um festzustellen, ob es einen statistisch signifikanten Unterschied zwischen Proben gibt. Vergleicht man die Wirkung von LockFile und DarkSide auf eine 481 KB gro\u00dfe Textdatei mit einem urspr\u00fcnglichen Chi-Quadrat-Wert von 3850061, so zeigt sich, dass das von DarkSide verschl\u00fcsselte Dokument nun einen Wert von 334 erh\u00e4lt, was ein klarer Hinweis darauf ist, dass die Datei verschl\u00fcsselt wurde. Wenn dasselbe Dokument durch die LockFile-Ransomware verschl\u00fcsselt wird, bleibt die aufgezeichnete Punktzahl signifikant hoch (1789811), was den Verdacht des Eindringens schlie\u00dflich ausr\u00e4umt.<\/p>\n\n\n\n<p>Der Name der verschl\u00fcsselten Dokumente verwendet Kleinbuchstaben und die Erweiterung .lockfile. Anstatt eine L\u00f6segeldforderung im TXT-Format einzuf\u00fcgen, verwendet LockFile eine HTML-Anwendungsdatei (HTA), \u00e4hnlich der, die von der LockBit 2.0 Ransomware verwendet wird, so die Sophos Forscher. In der Warnung werden die Opfer aufgefordert, sich an die E-Mail-Adresse contact@contipauper.com zu wenden. Die Domain, die am 16. August 2021 erstellt wurde, k\u00f6nnte ein abf\u00e4lliger Verweis auf eine konkurrierende Ransomware-Gruppe namens Conti sein.<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/network-king.net\/wp-content\/uploads\/2021\/09\/lockfile_fig11.jpg\" alt=\"\" class=\"wp-image-2417\" width=\"702\" height=\"417\" srcset=\"https:\/\/network-king.net\/wp-content\/uploads\/2021\/09\/lockfile_fig11.jpg 936w, https:\/\/network-king.net\/wp-content\/uploads\/2021\/09\/lockfile_fig11-300x178.jpg 300w, https:\/\/network-king.net\/wp-content\/uploads\/2021\/09\/lockfile_fig11-768x456.jpg 768w\" sizes=\"(max-width: 702px) 100vw, 702px\" \/><figcaption>Quelle: Sophos<\/figcaption><\/figure><\/div>\n\n\n\n<p>LockFile verwendet auch Memory-Mapped Input\/Output (I\/O), um zwischengespeicherte Dateien zu verschl\u00fcsseln und sie mit minimalem Festplattenzugriff zu schreiben &#8211; ein weiteres Mittel, um Erkennungstechniken zu umgehen. Mit dieser Technik kann Ransomware schneller auf Dokumente zugreifen, um sie zu verschl\u00fcsseln, und dann das Betriebssystem veranlassen, sie in einer vom b\u00f6sartigen Prozess selbst getrennten Aktion auf die Festplatte zu schreiben. Durch die Anwendung dieses Tricks kann LockFile die Erkennung durch einige verhaltensbasierte Anti-Ransomware-L\u00f6sungen vermeiden.<\/p>\n\n\n\n<p>Eine weitere Methode, mit der LockFile seine Erkennung erschwert, ist die Tatsache, dass es keine Verbindung zu einem Command und Control Center ben\u00f6tigt. <\/p>\n\n\n\n<p>Um sich zu verbreiten, nutzt LockFile Ransomware eine Reihe von Sicherheitsl\u00fccken in Microsoft Exchange-Servern aus, die als ProxyShell bekannt sind (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207). Obwohl seit April und Mai Patches f\u00fcr diese Schwachstellen verf\u00fcgbar sind, haben viele Unternehmen sie noch nicht auf ihre Server angewendet, was sie zu einer leichten Beute f\u00fcr Ransomware-Angriffe wie den von LockFile macht.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die neue LockFile-Bedrohung nutzt eine Methode, die noch nie zuvor bei Ransomware-Angriffen eingesetzt wurde. Und das, um noch mehr Opfer zu fordern. Die sogenannte intermittierende Verschl\u00fcsselung, die von Sophos Forschern aufgedeckt wurde, scheint ProxyShell-Schwachstellen in Microsoft Exchange-Servern auszunutzen, um in Systeme einzudringen, die diese Schwachstellen noch nicht gepatcht haben. Die Taktik der LockFile Ransomware basiert&#8230;<\/p>\n","protected":false},"featured_media":2421,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[47],"tags":[],"company":[],"topic":[],"class_list":["post-2457","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-cybersecurity"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/2457","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=2457"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/2421"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=2457"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=2457"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=2457"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=2457"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=2457"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=2457"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}