Aktuelles, Branche - geschrieben von dp am Donnerstag, Juli 15, 2021 19:47 - noch keine Kommentare
Mespinoza: Ransomware-Gruppe nutzt Hacking-Tools mit skurrilen Namen wie MagicSocks und HappyEnd
Palo Alto Networks veröffentlicht Profil cyber-Krimineller Gruppe Mespinoza, welche auch in Deutschland zuschlägt
[datensicherheit.de, 15.07.2021] Die Cybersecurity-Analystengruppe „Unit 42“ von Palo Alto Networks hat nach eigenen Angaben am 15. Juli 2021 ein Profil der weit verbreiteten „Mespinoza“-Ransomware-Bande veröffentlicht. Diese greift demnach Unternehmen aus den Bereichen Verlagswesen, Immobilien, industrielle Fertigung und Bildung an – mit Lösegeldforderungen von bis zu 1,6 Millionen US-Dollar und Zahlungen von bis zu 470.000 US-Dollar.
Länderübersicht: Opfer der Leak-Site der Mespinoza-Gruppe
Mespinoza – eine überaus produktive Gruppe mit Vorliebe für skurrile Benennung ihrer Hacking-Tools
Mit dem Aufblühen der Cyber-Erpressung änderten Ransomware-Banden ständig ihre Taktiken und Geschäftsmodelle, „um die Chancen zu erhöhen, dass die Opfer immer höhere Lösegelder zahlen“. Da diese kriminellen Organisationen laut Palo Alto Networks immer raffinierter werden, nähmen sie zunehmend das Aussehen professioneller Unternehmen an.
Ein gutes Beispiel dafür sei „Mespinoza“ – eine überaus produktive Gruppe mit einer Vorliebe für die Verwendung skurriler Begriffe, um ihre Hacking-Tools zu benennen. Die Cybersecurity-Berater der „Unit 42“ hätten beobachtet, dass die Bande US-amerikanische Unternehmen aus den Bereichen Verlagswesen, Immobilien, industrielle Fertigung und Bildung angreife, dabei Lösegeldforderungen in Höhe von bis zu 1,6 Millionen US-Dollar stelle und Zahlungen in Höhe von 470.000 US-Dollar erziele. Das FBI habe vor Kurzem eine Warnmeldung über diese Gruppe veröffentlicht, welche auch als „PYSA“ bekannt sei, und zwar nach einer Hacking-Attacke auf Schulen, Colleges, Universitäten und sogar Seminare in den USA sowie in Großbritannien.
Um mehr über diese Gruppe zu erfahren, habe die „Unit 42“ deren Infrastruktur überwacht, einschließlich eines Command-and-Control-Servers (C2), den diese zur Verwaltung von Angriffen nutze, und einer Leak-Site, „auf der sie Daten von Opfern veröffentlicht, die sich weigerten, hohe Lösegelder zu zahlen“.
Wichtige Erkenntnisse über die Mespinoza-Bande (Auszug):
Äußerste Disziplin
Nach dem Zugriff auf ein neues Netzwerk untersuche die Gruppe die kompromittierten Systeme in einer Art „Triage“, um festzustellen, „ob genügend wertvolle Daten vorhanden sind, um einen umfassenden Angriff zu rechtfertigen“. Sie suche nach Schlüsselwörtern wie „clandestine“, „fraud“, „ssn“, „driver*license“, „passport“ und „I-9“. Dies deute darauf hin, dass sie nach sensiblen Dateien jagten, welche im Falle eines Lecks die größten Auswirkungen haben würden.
Viele Branchen als Ziel
Die Opfer würden als „Partner“ bezeichnet. Die Verwendung dieses Begriffs deute darauf hin, dass die Gruppe versuche, „das Geschäft als professionelles Unternehmen zu führen und die Opfer als Geschäftspartner zu sehen, die ihre Gewinne finanzieren“. Die Leak-Site der Bande habe Daten enthalten, die angeblich zu 187 Angriffszielen gehört hätten, unter anderem aus den Bereichen Bildung, Fertigung, Einzelhandel, Medizin, Regierung, Hightech, Transport und Logistik, Ingenieurwesen und soziale Dienste.
Globale Reichweite
55 Prozent der auf der Leak-Site identifizierten Opfer befänden sich in den Vereinigten Staaten von Amerika. Der Rest sei über den gesamten Globus in mehr als 20 Ländern verstreut – darunter Kanada, Brasilien, Großbritannien, Italien, Spanien, Frankreich, Deutschland, Südafrika und Australien.
Übermut beim Kontakt mit den Opfern
Eine Lösegeldforderung biete diesen Ratschlag: „What to tell my boss?“ – „Protect Your System, Amigo.“
Verwendung von Angriffs-Tools mit kreativen Namen
Ein Tool zur Erstellung von Netzwerktunneln, um Daten abzuschöpfen, heiße „MagicSocks“. Eine Komponente, welche auf dem „Staging“-Server der Gruppe gespeichert sei und wahrscheinlich dazu diene, einen Angriff abzuschließen, heiße „HappyEnd.bat“.
Mespinoza zeigen mehrere aktuelle Trends
Bei einem kürzlich aufgetretenen Vorfall sei Ransomware eingesetzt worden, indem Bedrohungsakteure über einen Remote-Desktop auf ein System zugegriffen und eine Reihe von Batch-Skripten ausgeführt hätten, „die das Tool ,PsExec‘ verwendeten, um die Ransomware auf andere Systeme im Netzwerk zu kopieren und auszuführen“. Bevor diese Ransomware auf anderen Systemen bereitgestellt werde, führe der Akteur PowerShell-Skripte auf den anderen Systemen im Netzwerk aus, um interessante Dateien zu exfiltrieren und die Auswirkungen der Ransomware zu maximieren.
„Mespinoza“-Angriffe, wie die im Bericht der „Unit 42“ dokumentierten, zeigten mehrere Trends auf, die derzeit bei verschiedenen Ransomware-Bedrohungsakteuren und -Familien zu beobachten seien. Wie bei anderen Ransomware-Angriffen erfolge der Zugang durch die sprichwörtliche Vordertür – über mit dem Internet verbundene RDP-Server (Remote Desktop Protocol).
Dadurch werde die Notwendigkeit der Erstellung von Phishing-E-Mails, der Durchführung von „Social Engineering“, des Ausnutzens von Softwareschwachstellen oder anderer zeit- und kostenintensiverer Aktivitäten verringert. Weitere Kosten würden durch die Verwendung zahlreicher Open-Source-Tools eingespart, welche online kostenlos zur Verfügung stünden, oder durch die Verwendung integrierter Tools von der Stange, was sich alles auf die Kosten und damit den Gewinn auswirke.
Weitere Informationen zum Thema:
FBI
Alert NumberCP-000142-MW / Increase in PYSA Ransomware Targeting Education Institution
paloalto NETWORKS, UNIT 42, Robert Falcone & Alex Hinchliffe & Quinn Cooke, 15.07.2021
Mespinoza Ransomware Gang Calls Victims “Partners,” Attacks with Gasket, „MagicSocks“ Tools
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche, Studien - Dez 6, 2024 13:54 - noch keine Kommentare
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
weitere Beiträge in Branche
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren