Attacken mit Verschlüsselungstrojanern, so genannter Ransomware, gehören schon länger zum Cybercrime-Alltag. Sie zählen auch zu den Vorfällen mit dem grössten Schadenspotential, da die Cyberkriminellen verschlüsselte Daten selbst gegen Zahlung von Lösegeld (wovor Behörden und IT-Security-Spezialisten abraten) nicht dechiffrieren.

Betroffen sind oft kleine und mittlere Unternehmen (KMU), wie das nationalen Zentrum für Cybersicherheit (NCSC) im neusten Halbjahresbericht betont (Computerworld berichtete). So sind  in der zweiten Jahreshälfte 2020 beim NCSC 34 Meldungen zu Ransomware aus verschiedenen Wirtschaftssektoren in der Schweiz eingegangen. Rund 80 Prozent der Meldungen betrafen KMU.

Die Anzahl Attacken könnte zunehmen, denn mittlerweile bieten Cyberkriminelle Ransomware auch als Dienstleistung an. Jüngstes Beispiel ist die Ransomware-as-a-Service (RaaS) REvil, welche auch in der Schweiz virulent ist. Immerhin kommt REvil in der Malware-Top-ten von Check Point im Mai auf Platz neun.

Die Forscher des Cybersecurity-Spezialisten Sophos haben sich eingehend mit den Taktiken, Techniken und Verfahren von REvil-Angreifern beschäftigt und dies im Bericht «Relentless REvil, Revealed: RaaS As Variable As the Criminals Who Use It» dargelegt. Sie gewähren dabei einen Blick unter die Haube der REvil-Ransomware, von ihrer Zusammensetzung bis hin zu ihrem Verhalten bei der Ausführung.

REvil, auch bekannt als Sodinokibi, ist demnach ein ausgereiftes und weit verbreitetes RaaS-Angebot. Kriminelle «Kunden» können die Ransomware von den Entwicklern leasen und mit eigenen Parametern versehen auf den Computern ihrer Opfer platzieren. Der jeweilige Ansatz und die Auswirkungen eines Angriffs mit REvil-Ransomware sind somit sehr variabel und hängen von den Tools, Verhaltensweisen, Ressourcen und Fähigkeiten des Angreifers ab, der die Malware mietet.

«Für eine gewöhnliche, alltägliche Ransomware, die es erst seit ein paar Jahren gibt, schafft es REvil/Sodinokibi bereits, beträchtlichen Schaden anzurichten und Lösegeldzahlungen in Höhe von mehreren Millionen Dollar zu fordern», berichtet Andrew Brandt, Principal Researcher bei Sophos. «Der Erfolg von REvil/Sodinokibi könnte zum Teil auf die Tatsache zurückzuführen sein, dass als Ransomware-as-a-Service-Angebot jeder Angriff anders ist. Das kann es Verteidigern schwer machen, die Warnzeichen zu erkennen, auf die sie achten müssen», führt er weiter aus.

Im Report beschreiben die Forscher aus den SophosLabs und dem Sophos Rapid Response Team die Tools und Verhaltensweisen, die Angreifer aus ihrer Sicht am häufigsten einsetzen, um einen REvil-Angriff zu implementieren.

Zu den von Sophos beobachteten REvil-Ransomware-Angriffswerkzeugen und -Verhaltensweisen gehören:

Die Angreifer, die REvil-Ransomware einsetzen, können laut den Ergebnissen von Sophos Rapid Response sehr hartnäckig sein. In einem kürzlich vom Team untersuchten REvil-Angriff zeigten die von einem kompromittierten Server gesammelten Daten ca. 35'000 fehlgeschlagene Anmeldeversuche über einen Zeitraum von fünf Minuten, die von 349 eindeutigen IP-Adressen aus der ganzen Welt stammten. 

In mindestens zwei REvil-Attacken, die von Sophos-Forschern beobachtet wurden, war der ursprüngliche Zugangspunkt zudem ein Tool, das von einem früheren Ransomware-Angriff eines anderen Angreifers zurückgelassen wurde.