Cyberkriminelle nutzen unzureichend gesicherte Microsoft SQL (MS SQL)-Server aus, um sowohl Cobalt Strike als auch eine Ransomware-Variante namens FreeWorld zu verbreiten.
Die Cybersicherheitsfirma Securonix hat diese Kampagne als DB#JAMMER bezeichnet und hebt dabei die Art und Weise hervor, wie das Werkzeugset und die Infrastruktur dabei eingesetzt werden.
„Einige dieser Werkzeuge umfassen Aufzählungssoftware, RAT-Payloads, Exploitation- und Credential-Stealing-Software sowie schließlich Ransomware-Payloads“, erklärten die Sicherheitsforscher Den Iuzvyk, Tim Peck und Oleg Kolesnikov in einer technischen Aufschlüsselung der Aktivität.
„Die ausgewählte Ransomware-Payload scheint eine neuere Variante der Mimic-Ransomware namens FreeWorld zu sein.“
Der Zugang zum betroffenen Host wird zunächst durch Brute-Force-Angriffe auf den MS SQL-Server erreicht. Dabei wird dieser dazu genutzt, die Datenbank aufzulisten und die Konfigurationsoption xp_cmdshell zu verwenden, um Shell-Befehle auszuführen und Aufklärung zu betreiben.
Die nächste Phase beinhaltet Maßnahmen zur Beeinträchtigung der System-Firewall und die Etablierung der Persistenz durch die Verbindung zu einem Remote-SMB-Share, um Dateien zwischen dem Opfersystem und anderen Systemen zu übertragen. Gleichzeitig werden bösartige Tools wie Cobalt Strike installiert.
Dies legt den Grundstein für die Verteilung von AnyDesk-Software, um letztendlich die FreeWorld-Ransomware einzusetzen. Dies geschieht jedoch erst nach einem lateralen Bewegungsschritt. Die unbekannten Angreifer sollen auch versucht haben, erfolglos eine RDP-Persistenz über Ngrok herzustellen.
„Der Angriff war anfangs erfolgreich aufgrund eines Brute-Force-Angriffs gegen einen MS SQL-Server“, betonten die Forscher. „Es ist wichtig zu betonen, wie bedeutsam starke Passwörter sind, besonders bei öffentlich zugänglichen Diensten.“
Diese Enthüllung erfolgt parallel zu dem Umstand, dass die Betreiber der Rhysida-Ransomware 41 Opfer gemeldet haben, wobei mehr als die Hälfte von ihnen in Europa ansässig ist.
Rhysida ist eine der neuen Ransomware-Varianten, die im Mai 2023 aufgetaucht sind und die zunehmend beliebte Taktik nutzen, sensible Daten von Organisationen zu verschlüsseln und zu exfiltrieren, um diese Informationen zu veröffentlichen, falls die Opfer sich weigern zu zahlen.
Dies folgt auch auf die Veröffentlichung eines kostenlosen Entschlüsselungstools für eine Ransomware namens Key Group, aufgrund mehrerer kryptografischer Fehler im Programm. Das Python-Skript funktioniert jedoch nur bei Proben, die nach dem 3. August 2023 kompiliert wurden.
„Die Key Group Ransomware verwendet einen base64-codierten statischen Schlüssel N0dQM0I1JCM=, um die Daten der Opfer zu verschlüsseln“, erklärte das niederländische Cybersicherheitsunternehmen EclecticIQ in einem Bericht, der am Donnerstag veröffentlicht wurde.
„Der Angreifer hat versucht, die Zufälligkeit der verschlüsselten Daten durch die Verwendung einer kryptografischen Technik namens Salting zu erhöhen. Das verwendete Salz war statisch und wurde für jeden Verschlüsselungsvorgang gleich verwendet, was einen erheblichen Fehler im Verschlüsselungsablauf darstellt.“
2023 hat einen alarmierenden Anstieg von Ransomware-Angriffen erlebt, nachdem es 2022 eine Ruhepause gab. Gleichzeitig ist der Prozentsatz der Fälle, in denen die Opfer bezahlt haben, auf einen historischen Tiefstand von 34 % gefallen, wie Statistiken zeigen, die von Coveware im Juli 2023 veröffentlicht wurden.
Der durchschnittliche gezahlte Lösegeldbetrag hat jedoch $740.144 erreicht, was einer Steigerung von 126 % gegenüber dem ersten Quartal 2023 entspricht.
Die Schwankungen bei den Monetarisierungsraten gingen einher mit der fortlaufenden Entwicklung der Erpressungstaktiken von Ransomware-Bedrohungsakteuren, darunter das Teilen von Details über ihre Angriffsmethoden, um zu zeigen, warum ihre Opfer keine Auszahlung von einer Cyber-Versicherung erhalten sollten.
„Snatch behauptet, dass sie Details darüber veröffentlichen werden, wie Angriffe gegen Nichtzahlende erfolgreich waren, in der Hoffnung, dass Versicherer entscheiden werden, dass die Vorfälle nicht durch eine Versicherung gegen Ransomware abgedeckt werden sollten“, sagte der Sicherheitsforscher von Emsisoft, Brett Callow, in einem Beitrag, der letzten Monat auf X (ehemals Twitter) geteilt wurde.