Angreifer kompromittierten Dutzende von Nachrichten-Websites im Rahmen einer Ransomware-Kampagne

Malware, die zum Herunterladen von WastedLocker in Zielnetzwerken verwendet wurde, wurde auf legalen Websites einer Muttergesellschaft gehostet, so Symantec.

Angreifer haben vor kurzem Dutzende von US-Zeitungswebsites desselben Mutterkonzerns kompromittiert und die Sites dazu benutzt, bösartigen Code zum Herunterladen von Lösegeld in Netzwerken von Zielorganisationen in mehreren Sektoren zu verbreiten.

Mehrere große US-Organisationen, die vor kurzem mit der Malware infiziert wurden, scheinen zunächst kompromittiert worden zu sein, als ihre Mitarbeiter eine der Nachrichten-Websites besuchten, sagte Symantec.

Der Sicherheitsanbieter hatte in der vergangenen Woche berichtet, dass er „SocGholish“, eine JavaScript-basierte Malware, die sich als Software-Update tarnt, in Netzwerken entdeckt hatte, die mindestens 31 großen Unternehmenskunden gehören. Eine in Russland ansässige Gruppe namens Evil Corp. verwendet die Malware als Teil einer Angriffssequenz, um eine neue Lösegeldforderung namens WastedLocker auf Zielnetzwerke herunterzuladen, hatte Symantec festgestellt.

Zu den Symantec-Kunden, die von der Kampagne betroffen sind, gehören 11 öffentlich gelistete Organisationen, darunter acht der Fortune-500-Liste.

Eine Vielzahl der Opfer sind im Fertigungssektor zu finden, obwohl auch Organisationen aus anderen Branchen betroffen waren, darunter Finanzdienstleistungen, Gesundheitswesen, Energie und Transport. In allen Fällen wurden die Angriffe entdeckt und gestoppt, bevor die Lösegeldforderungen eingesetzt wurden.

Hätten die Angriffe Erfolg gehabt, hätten die Opfer wahrscheinlich Millionen von Dollar an Ausfallzeiten und Schäden verloren. Die Angriffe hätten auch einen kaskadenartigen Effekt auf die US-Lieferkette haben können, sagte Symantec. „Das Endziel dieser Angriffe ist es, die IT-Infrastruktur der Opfer zu lahmzulegen, indem die meisten ihrer Computer und Server verschlüsselt werden, um ein Lösegeld in Millionenhöhe zu fordern“, sagte der Anbieter in seinem Bericht von letzter Woche.

Evil Corp. ist ein bekannter Bedrohungsakteur, der für Angriffe verantwortlich gemacht wird – einschließlich der Angriffe im Zusammenhang mit Dridex- und Zeus-Lösegeldproben -, die die Opfer kumuliert Hunderte von Millionen Dollar Schadenersatz gekostet haben. Ein US-Bundesgericht klagte im vergangenen Jahr zwei Mitglieder der Bande wegen Vorwürfen an, die im Zusammenhang mit ihren langjährigen kriminellen Kampagnen stehen. Beide sind nach wie vor auf freiem Fuß – einer von ihnen mit einer Belohnung von 5 Millionen US-Dollar auf seinen Kopf.

In seinem ersten Bericht (der diese Woche aktualisiert wurde) sagte Symantec, seine Forscher hätten mindestens 150 legitime, aber zuvor gehackte Websites entdeckt, die dazu benutzt wurden, SocGholish zu hosten und auf Systeme herunterzuladen, die den Besuchern dieser Websites gehören.

Nach Angaben des Anbieters ergaben die fortlaufenden Untersuchungen der Kampagne, dass Dutzende der kompromittierten Websites in Wirklichkeit Nachrichtenseiten einer Muttergesellschaft waren. Symantec informierte die Organisation über das Problem, und der bösartige Code wurde inzwischen entfernt. Die Tatsache, dass nicht weniger als 31 von Symantecs Unternehmenskunden von den Angriffen betroffen waren, deutet darauf hin, dass die gesamte WastedLocker-Kampagne von Evil Corp. sehr breit angelegt ist, stellte Symantec fest.

Die NCC-Gruppe, die auch die WastedLocker-Kampagne verfolgt hat, bezeichnete sie als zielgerichtet und begann im Mai 2020. Nach Angaben von Forschern sowohl von Symantec als auch von der NCC Group haben die Angreifer von Evil Corp. eine Kombination aus benutzerdefinierten Tools und legitimen Prozessen und Diensten eingesetzt, um die Lösegeldforderung zur Kommunikation mit Command-and-Control-Servern und zur seitlichen Bewegung in infizierten Netzwerken einzusetzen.

Zu den in der Kampagne verwendeten Tools gehören PowerShell-Skripts, das Windows Sysinternals-Tool PsExec und das Windows Management Instrumentation Command Line Utility (wmic dot exe), mit dem die Echtzeitüberwachung und das Scannen heruntergeladener Dateien deaktiviert wird.

Bei vielen der Angriffe haben die Bedrohungsakteure versucht, Windows Defender und die damit verbundenen Dienste zu deaktivieren, bevor sie die Lösegeld-Software einsetzen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.