Schleichfahrt: Analyse einer modernen „Musterattacke“
Bereits im April dieses Jahres wurde eine neue Ransomware-Gruppe namens „Money Message*“ aktiv. Während die Cyberkriminellen bislang unter dem Radar flogen, konnte Sophos X-Ops die Aktivitäten der Cyberkriminellen nun bei der mit der Untersuchung eines Angriffs auf eine australische Organisation näher unter die Lupe nehmen.
Die Gruppierung liefert ein Musterbeispiel für eine mittlerweile sehr weit verbreitete Angriffsvariante: die Schleichfahrt durch gekaperte Firmennetzwerke auf verschiedenste Weise, um der Erkennung und Eliminierung zu entgehen. So wurden zum Beispiel bei 78 Prozent der im ersten Halbjahr 2023 analysierten Fälle des Sophos Incident Response Teams interne RDP-Dienste von Cyberkriminellen für ihre Zwecke missbraucht.
Schleichfahrt: Analyse der „Musterattacke“
In diesem speziellen Fall nutzte Money Message eine anfällige VPN-Verbindung, um Zugriff auf das Netzwerk zu erhalten. Anschließend bewegten sie sich lateral im Netzwerk, indem sie das vom Unternehmen verwendete Remote Desktop Protocol (RDP) nutzten. Zudem war es den Angreifern möglich, Windows Defender zu deaktivieren und sich Zugriff auf verschiedene Anmeldeinformationen der Organisation zu verschaffen, ehe sie begannen, sensible Daten abzuschöpfen.
Alle Details zur Attacke und Tipps zu Verhinderung solcher Verschleierungsangriffe gibt der englische Untersuchungsbericht „Step by step through the money message ransomware“.
*Hintergrund: Nach der Berichterstattung bei BleepingComputer scheint die Ransomware-Gruppe Money Message den taiwanesischen PC-Komponenten Hersteller MSI kompromittiert zu haben. Die Gruppe fordert nun vier Millionen US-Dollar für die entwendeten Daten. Laut Informationen des Cyble Research and Intelligence Labs (CRIL) wendet sie eine doppelte Erpressungstechnik an, um ihre Opfer zu erpressen. Dabei werden die Daten des Opfers zunächst exfiltriert und dann verschlüsselt. Wenn das Lösegeld nicht bezahlt wird, lädt die Gruppe die Daten auf ihre Leak-Site hoch. Money Message wurde erstmals im März 2023 beobachtet und hat bereits mehr als fünf öffentlich bekannt gegebene Opfer betroffen, von denen die meisten aus den Vereinigten Staaten stammen. Die Opfer gehören verschiedenen Branchen an, darunter BFSI, Transport und Logistik sowie Professional Services. Wenn diese Behauptungen wahr sind, könnte dieser Diebstahl schwerwiegende Folgen für MSI haben. Durch den Diebstahl des Quellcodes aus dem Netz des Unternehmens kann eine Gruppe diesen modifizieren und ihre eigenen Variationen erstellen, die schließlich die Grundlage für die Entwicklung einer eigenen Ransomware-Variante bilden und den Grundstein für zukünftige Angriffe legen.
