Dada Leee | shutterstock.com
Die Ransomware-Bande Rhysida ist speziell im Unternehmensumfeld berüchtigt. Nun scheint das kriminelle Hacker-Kollektiv neue Wege einschlagen zu wollen, wie ein Bericht des US-Sicherheitsanbieters Expel nahelegt. Demnach setzen die Cyberkriminellen in ihrer aktuellen Angriffskampagne initial auf Malvertising. Die maliziösen Anzeigen laufen über die Microsoft-Suchmaschine Bing und führen auf Fake-Download-Seiten für populäre Software wie Microsoft Teams, PuTTY oder Zoom.
Benutzer, die über diese Seiten einen Download initiieren, bekommen (unter anderem) eine Schadsoftware namens “OysterLoader” geliefert – ausgestattet mit einem legitim erscheinenden Microsoft-Zertifikat. Dabei handelt es sich laut den Sicherheitsexperten um ein Initial Access Tool, dessen einziger Zweck darin besteht, eine persistente Backdoor auf dem System zu schaffen, über die die Cyberkriminellen langfristigen Zugriff erhalten.
So untergräbt Rhysida die Trust-Chain
Um einer Detection zu entgehen – oder diese zu erschweren – setzt die Rhysida-Angriffskampagne auf eine zweistufige Strategie:
- Zunächst wird die Schadsoftware ver-, beziehungsweise gepackt, um die Malware zu komprimieren, zu verschlüsseln oder zu verschleiern. Das sorgt für geringe statische Erkennungsraten, wenn die Schadsoftware erstmals entdeckt wird.
- Anschließend benutzt die Ransomware-Bande vertrauenswürdige Code-Signing-Zertifikate von Microsoft, um ihren bösartigen Dateien das nötige Maß an “Trust” angedeihen zu lassen.
“Trusted-Signing-Zertifikate werden mit einer Gültigkeitsdauer von 72 Stunden ausgestellt. Danach laufen sie ab und müssen erneuert werden. Das macht es eigentlich unmöglich, Zertifikate zu kaufen und weiterzuverkaufen. Die Rhysida-Bande – oder einer ihrer Supplier – hat jedoch eine Möglichkeit gefunden, das vertrauenswürdige Signatursystem von Microsoft zu missbrauchen, um Dateien in großem Umfang signieren zu können”, halten die Expel-Spezialisten in ihrer Untersuchung fest.
Amit Jaju, Senior Managing Director bei Ankura Consulting, gibt weiteren Kontext: “Signierte Binärdateien genießen innerhalb von Windows und vielen Sicherheits-Tools automatisches Vertrauen. Deswegen laufen sie oft ohne Überprüfung durch. Bis das auf Verteidigerseite auffällt und entsprechende Sperrungen veranlasst sind, sind die Angreifer längst auf neue Zertifikate umgestiegen.”
Laut der Expel-Analyse setzt die Rhysida-Gang inzwischen verstärkt auf solche Code-Signing-Zertifikate. So habe sich deren Einsatz über verschiedene Angriffskampagnen hinweg drastisch gesteigert. Das deute darauf hin, dass die Cyberkriminellen schneller arbeiteten und mehr Ressourcen einsetzten.
Forensische Signale beachten
Kampagnen, die vertrauenswürdige Zertifikate ausnutzen, untergraben das Trust-Modell, auf das sich Unternehmen verlassen. Signierte Malware umgeht App-Zulassungslisten, Browser-Alerts, Betriebssystemprüfungen und Antivirus-Kontrollen. Zudem sinkt die Hemmschwelle der Belegschaft, Dateien herunterzuladen, wenn es sich dabei augenscheinlich um bekannte, populäre Software wie Teams oder PuTTY handelt. “Sobald die Schadsoftware ins System gelangt ist, verschafft sie sich Persistenz und zieht weitere Payloads nach sich. Ein einzelner, kompromittierter Endpunkt kann so schnell in laterale Bewegungen münden und schließlich in einer Ransomware-Attacke gipfeln”, warnt Jaju.
Das erfordert von den Verteidigern, ihre Denkweise neu auszurichten – meint etwa Devroop Dhar, Mitbegründer der Technologieberatung Primus Partners: “Wir sollten nicht davon ausgehen, dass signierte Dateien sicher sind. Überprüfen Sie zunächst, woher das Installationsprogramm stammt: von der Website eines Anbieters oder einen dubiosen Suchmaschinen-Link. Diese kleinen Details verraten oft schon alles. Neue, nicht übereinstimmende Namen von Herausgebern oder Zertifikate, die vor ungewöhnlich kurzer Zeit ausgestellt wurden, sollten Verdacht erregen.”
Der Experte empfiehlt Anwenderunternehmen, Endpunkte auf rundll32-, PowerShell- oder msiexec-Prozessketten zu untersuchen – also nicht auf bestimmte Malware-Namen zu achten, sondern auf wiederkehrende Verhaltensmuster. Das sieht Manager Jaju ähnlich. Seine Empfehlung: “Nutzen Sie EDR-Lösungen, die auf Behavior fokussieren, statt auf Trust-Tags. Legen Sie Zertifikate für unternehmenskritische Anwendungen fest, damit nur bekannte und genehmigte ausgeführt werden können. Füttern Sie Ihre Detection-Pipelines mit Bedrohungsinformationen, damit Kompromittierungsindikatoren direkt Maßnahmen auslösen. Und um gefälschte Download-Pfade zu blockieren, empfehlen sich DNS-Kontrollen und -Filter.”
Beide Experten sind sich einig, dass das Problem über einzelne Organisationen hinausgeht. Der Missbrauch des Trusted Signing Service von Microsoft decke demnach systemische Schwachstellen auf, die eine strengere Zertifikatsüberprüfung sowie eine stärkere branchenweite Aufsicht erforderten. (fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.