Letzte Woche sind uns Ransomware-Angriffe aufgefallen, die einzigartige Ausweichtechniken aufweisen. Es handelt sich um eine neue Variante oder möglicherweise auch ein Nachahmer der MedusaLocker-Ransomware. Die MedusaLocker-Ransomware wurde erstmals im September 2019 entdeckt und enthielt eine Batch-Datei zur Erkennungsvermeidung.
Batch-Dateien enthalten Skriptbefehle, die auf Windows-Maschinen in einer Eingabeaufforderung ausgeführt werden und die Erweiterung .bat haben. In der bösartigen Batch-Datei, die mit der Ransomware-Payload einherging, fanden wir einen Befehl, der die Windows-Registry bearbeitet, um Windows Defender zu entfernen, wenn der Computer im Minimalmodus mit deaktivierter Netzwerkverbindung (Minimal mode) gebootet wird.
reg delete HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend /f
Dieser Befehl besagt: Löschen des Registry-Eintrags „HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend“ ohne Bestätigungsaufforderung. Der Speicherort des Registry-Eintrags zeigt an, dass dies den Computer betrifft, wenn er im abgesicherten Modus gebootet wird.
Zusätzlich fanden wir auch heraus, dass die Batch-Datei MedusaLocker als Dienst namens „backupvt“ hinzufügt und konfiguriert, um bei jedem Booten im sicheren Modus Minimal ausgeführt zu werden. Dadurch wird der Dateiname bei der Betrachtung der Dienste ausgeblendet und MedusaLocker wird im sicheren Modus Minimal ausgeführt.
Nachdem die sichere Umgebung eingerichtet wurde, um störungsfrei zu laufen, konfiguriert die Batch-Datei das nächste Hochfahren des Computers zum Ausführen im Minimalmodus und startet den Computer still neu. Wenn der Computer wieder hochgefahren ist, tritt er in den abgesicherten Modus ein und startet den MedusaLocker-Dienst. Anschließend verschlüsselt MedusaLocker alle Dateien auf dem Computer des Opfers, ohne dass ein Antivirus-Programm es blockieren kann.
Obwohl dies keine neue Ausweichtechnik im Allgemeinen ist, ist uns kein anderer Ransomware-Angriff bekannt, der diese Technik verwendet, um Antivirus-Software zu umgehen. Das Starten im abgesicherten Modus verhindert auch das Ausführen nahezu aller Antivirus-Programme von Drittanbietern und macht MedusaLocker besonders schwer zu erkennen.
Dieser Ransomware-Angriff erwies sich als äußerst ausweichend und effektiv, um herkömmliche Endpoint-Anti-Malware-Schutzmaßnahmen zu umgehen, was die Notwendigkeit eines mehrschichtigen Sicherheitsansatzes verdeutlicht. In unseren Tests hat WatchGuard’s Cloud-Sandbox-basierter APT-Blocker die Bedrohung sowohl am Perimeter als auch in Kombination mit dem Threat Detection and Response (TDR)-Endpoint-Agenten erkannt und blockiert, jedoch erst nachdem sie an den signaturbasierten Erkennungsdiensten vorbeigekommen war.
Das Host Ransomware Prevention (HRP)-Modul von TDR identifiziert und blockiert auch schnell die MedusaLocker-Payload, die den Computer des Opfers verschlüsselt, aber nur, wenn die Ransomware ausgeführt wird, während der TDR-Dienst läuft und nicht im sicheren Modus. Da es extrem riskant ist, Drittanbieter-Treiber wie Anti-Malware-Engines im abgesicherten Modus auszuführen, werden Sie wahrscheinlich nicht viele Engines finden, die diese Bedrohung abfangen, wenn sie so weit kommt.
Unabhängig davon sollten Sie auf Batch-Dateien aufpassen, die aus dem Internet heruntergeladen wurden. Sie können Code ausführen und die Registry manipulieren, um jedes installierte Antivirus-Programm mit diesem sicheren Modus-Trick zu deaktivieren. Führen Sie niemals eine unbekannte Datei aus, ohne die Quelle zu überprüfen.
Insgesamt zeigt dieser Angriff, dass Cyberkriminelle ständig neue Wege finden, um Antivirus-Programme zu umgehen und ihre bösartigen Aktivitäten durchzuführen. Deshalb ist es wichtig, dass Unternehmen eine mehrschichtige Sicherheitsstrategie implementieren, die nicht nur auf Antivirus-Programmen basiert, sondern auch auf fortgeschrittenen Bedrohungserkennungstechnologien wie APT-Blockern und TDR-Endpoint-Agenten.
Solche Technologien helfen Unternehmen, Bedrohungen in Echtzeit zu erkennen und zu blockieren, bevor sie Schaden anrichten können. Unternehmen sollten auch sicherstellen, dass ihre Mitarbeiter über die Risiken von Ransomware-Angriffen und die besten Praktiken zur Vorbeugung solcher Angriffe informiert sind, wie beispielsweise das Vermeiden des Herunterladens von Dateien aus unsicheren Quellen und das Öffnen von E-Mail-Anhängen unbekannter Absender.
Letztendlich müssen Unternehmen und Benutzer wachsam bleiben und sich kontinuierlich über neue Bedrohungen und Angriffstechniken auf dem Laufenden halten, um sicherzustellen, dass sie angemessen geschützt sind. Nur so können wir sicherstellen, dass die Bedrohung durch Ransomware und andere Arten von Cyberangriffen minimiert wird und wir sicher im Internet arbeiten können.