Neue .SaveTheQueen Ransomware

Publiziert am 7. Februar 2020 von Günter Born

Die Cyber-Kriminellen haben Humor und lassen sich vom Brexit animieren. Sicherheitsforscher von Varonis identifizieren einen neuen Ransomware-Typ, der die Dateien mit der Dateinamenerweiterung .SaveTheQueen verschlüsselt. Der Verschlüsselungstrojaner zielt auf den SYSVOL-Ordner der Domänencontroller.

Anzeige

Sicherheitsforscher von Varonis Systems Inc. haben einen neuen Stamm fortschrittlicher Ransomware identifiziert. Einer der Varonis-Kunden kontaktierte den Anbieter, als er nach einer Infektion mit einer entsprechenden Lösegeldforderung zur Entschlüsselung konfrontiert wurde. Die Ransomware versieht die verschlüsselten Dateien mit der Endung .SaveTheQueen und wurde bereits hier diskutiert.

Ransomware nutzt SYSVOL-Freigabe auf dem Domänencontroller

Dabei nutzen die Angreifer die SYSVOL-Freigabe auf dem Domänencontroller des Opfers, um die Malware lateral zu verbreiten und den Verlauf der Ausbreitung in der Domäne verfolgen zu können.

Nach Einschätzung der Experten ist der Next-Generation-Kryptotrojaner durch die Verwendung des betroffenen Domänencontroller (um die Malware zu verbreiten) und PowerShell (um die Malware zu öffnen und auszuführen) darauf ausgelegt, ganze Unternehmens-Infrastrukturen lahmzulegen. Dies scheint für die Cyberkriminellen die lukrativste Strategie zu sein, da sie durch den Zugriff auf das Domain-Administratorkonto auch andere Möglichkeiten eines Angriffs hätten, wie Kryptojacking oder Datendiebstahl.

SYSVOL ist ein zentraler Ordner auf jedem Domänencontroller, der für die Bereitstellung von Richtlinien (GPO) und Anmeldeskripts auf Domänen-Workstations verwendet wird. Der Inhalt des SYSVOL-Ordners wird zwischen den Domänencontrollern repliziert, um die Daten synchron zu halten. Das Schreiben in SYSVOL erfordert entsprechend hohe Domänenberechtigungen. Wenn diese jedoch kompromittiert werden, ist dies ein leistungsstarkes Werkzeug für Angreifer, die es zur schnellen Verbreitung bösartiger Inhalte in der Domäne verwenden können. Folglich bringt die Kontrolle über ein Domain-Administratorkonto Angreifern eine Vielzahl an Möglichkeiten für kriminelle Aktivitäten. So wären sie auch in der Lage gewesen, gezielt nach wertvollen Informationen zu suchen oder Unternehmensressourcen für Kryptomining zu kapern.

Während die eigentliche Ransomware relativ konventionell agiert, nutzen die Malware-Entwickler Active Directory auf kreative Art und Weise zur Verbreitung des Droppers. Insofern stellt dieser neue Verschlüsselungstrojaner ein erhebliches Gefahrenpotenzial dar und unterstreicht jüngste Beobachtungen, die darauf hindeuten, dass auch Ransomware immer ausgefeilter wird. Weitere Informationen zur Malware finden sich in diesem Blog-Beitrag.  

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Neue .SaveTheQueen Ransomware

  1. 1ST1 sagt:
    7. Februar 2020 um 09:19 Uhr

    Wer schreibenden Zugriff auf SYSVOL hat, kann in den GPOs liegende Startup/Login-Scipte manipulieren…

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.