Es ist Ransomware oder vielleicht ein Scheibenwischer, und es sind auffällige Ziele in Israel

Forscher sagen, sie haben nie zuvor gesehene Malware entdeckt, die sich als Ransomware tarnt und zerstörerische Angriffe auf israelische Ziele auslöst.

Apostle, wie Forscher der Sicherheitsfirma SentinelOne die Malware aufrufen, wurde ursprünglich eingesetzt, um Daten zu löschen, hat dies jedoch wahrscheinlich aufgrund eines logischen Fehlers im Code nicht getan. Der interne Name, den die Entwickler ihm gaben, war “Wischer-Aktion”. In einer späteren Version wurde der Fehler behoben und die Malware entwickelte ein vollwertiges Ransomware-Verhalten, einschließlich des Hinterlassens von Notizen, in denen Opfer aufgefordert wurden, ein Lösegeld gegen einen Entschlüsselungsschlüssel zu zahlen.

Eine klare Linie

In einem am Dienstag veröffentlichten Beitrag sagten SentinelOne-Forscher, sie hätten mit großer Sicherheit festgestellt, dass die Malware auf der Grundlage des Codes und der Server, denen Apostel berichtet hat, von einer nie zuvor gesehenen Gruppe mit Verbindungen zur iranischen Regierung verwendet wurde. Während eine von ihnen wiederhergestellte Ransomware-Notiz darauf hinwies, dass Apostel gegen eine kritische Einrichtung in den Vereinigten Arabischen Emiraten eingesetzt worden war, war das Hauptziel Israel.

“Die Verwendung von Ransomware als disruptives Tool ist normalerweise schwer zu beweisen, da es schwierig ist, die Absichten eines Bedrohungsakteurs zu bestimmen”, heißt es in dem Bericht vom Dienstag. “Die Analyse der Apostle-Malware bietet einen seltenen Einblick in diese Art von Angriffen und zieht eine klare Grenze zwischen dem, was als Wiper-Malware begann, und einer voll funktionsfähigen Ransomware.”

Die Forscher haben die neu entdeckte Hacking-Gruppe Agrius genannt. SentinelOne sah, dass die Gruppe Apostle zuerst als Disk Wiper verwendete, obwohl ein Fehler in der Malware dies verhinderte, höchstwahrscheinlich aufgrund eines logischen Fehlers im Code. Agrius fiel dann auf Deadwood zurück, einen Scheibenwischer, der bereits 2019 gegen ein Ziel in Saudi-Arabien eingesetzt worden war.

Als Agrius eine neue Version von Apostel veröffentlichte, war es eine vollwertige Ransomware.

“Wir glauben, dass die Implementierung der Verschlüsselungsfunktion dazu dient, ihre tatsächliche Absicht zu maskieren – die Zerstörung von Opferdaten”, heißt es in dem Beitrag vom Dienstag. “Diese These wird durch eine frühe Version von Apostel gestützt, die die Angreifer intern als” Wischeraktion “bezeichneten.”

Apostel hat große Codeüberschneidungen mit einer Hintertür namens IPSec Helper, die Agrius ebenfalls verwendet. IPSec Helper empfängt eine Vielzahl von Befehlen, z. B. das Herunterladen und Ausführen einer ausführbaren Datei, die vom Steuerungsserver des Angreifers ausgegeben werden. Sowohl Apostel als auch IPSec Helper sind in der .NET-Sprache geschrieben.

Agrius verwendet auch Webshells, damit sich Angreifer innerhalb eines gefährdeten Netzwerks seitlich bewegen können. Um ihre IP-Adressen zu verbergen, verwenden Mitglieder den ProtonVPN.

Eine Affinität zu Scheibenwischern

Von Iranern gesponserte Hacker hatten bereits eine Affinität zu Scheibenwischern. Im Jahr 2012 wurde das Netzwerk des in Saudi-Arabien ansässigen Saudi Aramco, des weltweit größten Rohölexporteurs, durch selbstreplizierende Malware zerstört und die Festplatten von mehr als 30.000 Arbeitsstationen dauerhaft zerstört. Forscher identifizierten später den Wischerwurm als Shamoon und sagten, es sei die Arbeit des Iran.

Im Jahr 2016 tauchte Shamoon in einer Kampagne wieder auf, die mehrere Organisationen in Saudi-Arabien, darunter mehrere Regierungsbehörden, traf. Drei Jahre später entdeckten Forscher einen neuen iranischen Scheibenwischer namens ZeroCleare.

Apostel ist nicht der erste Wischer, der als Ransomware getarnt ist. NotPetya, der Wurm, der weltweit Milliarden von Dollar Schaden anrichtete, tarnte sich ebenfalls als Ransomware, bis Forscher feststellten, dass er von von der russischen Regierung unterstützten Hackern geschaffen wurde, um die Ukraine zu destabilisieren.

Juan Andres Guerrero-Saade, Principal Threat Researcher bei SentinelOne, sagte in einem Interview, dass Malware wie Apostle das Zusammenspiel zwischen finanziell motivierten Cyberkriminellen und nationalstaatlichen Hackern veranschaulicht.

“Das Bedrohungs-Ökosystem entwickelt sich weiter und Angreifer entwickeln verschiedene Techniken, um ihre Ziele zu erreichen”, sagte er. „Wir sehen, dass Cyberkriminelle von den besser ausgestatteten nationalstaatlichen Gruppen lernen. Ebenso leihen sich die nationalstaatlichen Gruppen Kredite von kriminellen Banden aus und maskieren ihre disruptiven Angriffe unter dem Deckmantel der Ransomware, ohne darauf hinzuweisen, ob die Opfer ihre Akten tatsächlich gegen ein Lösegeld zurückerhalten. “

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.