Hunters International Analyse Anatomie eines Ransomware-Angriffs

Anbieter zum Thema

FAST LTA GmbH

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Eine aktuelle Untersuchung von Forescout Vedere Labs gibt detaillierte Einblicke in die Vorgehensweise der Ransomware-Gruppe Hunters International. Die Analyse basiert auf einem konkreten Angriff, bei dem die Täter über einen Oracle Webserver in das Netzwerk eines Unternehmens eindrangen.

Seit ihrem ersten Auftreten im Oktober 2023 hat die Ransomware-Gruppe Hunters International mehr als 200 Organisationen angegriffen. Allein im November 2024 wurden 24 Opfer gemeldet – im Schnitt fast ein Angriff pro Tag. Die geografische Verteilung zeigt einen Schwerpunkt in den USA (zehn Fälle) und der Europäischen Union (sieben Fälle), gefolgt von Südamerika (drei) und Asien (zwei). Zwei weitere Angriffe erfolgten in Großbritannien.

Die Gruppe erregte besondere Aufmerksamkeit durch spektakuläre Attacken, darunter ein Angriff auf die US-Marshals mit Diebstahl von FBI-Daten sowie die Erpressung der Londoner Niederlassung der Industrial and Commercial Bank of China (ICBC).

Von Rust bis Deepfake

Wie Cyberkriminelle 2025 noch gefährlicher werden

Technische Besonderheiten der Malware

Die in der Programmiersprache Rust geschriebene Ransomware zeichnet sich durch ihre Anpassungsfähigkeit aus. Diese Entwicklungsentscheidung ermöglicht es den Angreifern, Erkennungssysteme zu umgehen und gleichzeitig eine hohe Verschlüsselungsgeschwindigkeit sowie Plattformunabhängigkeit zu gewährleisten. Obwohl Code-Ähnlichkeiten zur Hive-Ransomware bestehen, wurden die Kommandozeilenoptionen gestrafft und das Schlüsselmanagement optimiert. Eine technische Besonderheit ist die Einbettung der kryptografischen Schlüssel in die verschlüsselten Dateien – ein Verfahren, das die unerlaubte Entschlüsselung erschwert, aber den Wiederherstellungsprozess nach Zahlung des Lösegelds vereinfacht.

Anatomie eines Angriffs

Die Forscher konnten den Ablauf eines konkreten Angriffs detailliert rekonstruieren. Erste verdächtige Aktivitäten wurden im Juli 2024 registriert, die endgültige Bestätigung erfolgte im September 2024 durch die Veröffentlichung der erbeuteten Daten auf einschlägigen Leak-Seiten.

Initiale Kompromittierung

Die Untersuchung identifizierte zwei mögliche Einfallstore:

• Einfallstor Nummer eins: Der Einsatz von modifizierter AutoIt-Malware, gefolgt von Netzwerk-Scans und Versuchen, durch Zerologon und SECRETSDUMP DCSYNC die Domänencontroller zu kompromittieren.

• Einfallstor Nummer zwei: Die Ausnutzung eines Oracle WebLogic Servers über den Debug-Port 8453. Dies ermöglichte die Ausführung von Befehlen als java.exe und die Installation der China Chopper Webshell. Der genaue Angriffsvektor auf den Oracle-Server blieb ungeklärt.

Embargo Ransomware

Raffinierte Ransomware-Bande killt Security-Lösungen

Bewegung im Netzwerk

Nach der initialen Kompromittierung begannen die Angreifer mit der Erkundung des Netzwerks. Sie legten einen Ordner für Tools an und sammelten Informationen über Netzwerkstrukturen, Domänen-Vertrauensstellungen und Benutzerdetails. Mit administrativen Rechten und durch das Auslesen von SAM- und SYSTEM-Hive-Dumps gewannen sie weitere Zugangsdaten.

Für die laterale Bewegung im Netzwerk nutzten die Angreifer sowohl Standard-Administrationswerkzeuge als auch spezialisierte Tools wie:

• Plink

• Impacket

• AnyDesk

• TeamViewer

• RDP (Remote Desktop Protocol)

Datenexfiltration und Verschlüsselung

Der Höhepunkt des Angriffs war die gezielte Kompromittierung eines Datenbankservers. Die dort erbeuteten Daten wurden über den Filesharing-Dienst MEGA exfiltriert. Anschließend wurde die eigentliche Ransomware (encrypter_windows_x64.exe) ausgeführt, die systematisch Backup- und Wiederherstellungsoptionen deaktivierte, unter anderem durch das Löschen von Shadow Copies und die Deaktivierung der Datenausführungsverhinderung (DEP). Die Ransomware verschlüsselte dann Dateien im gesamten Netzwerk und hinterließ entsprechende Lösegeldforderungen.

The Global Cost of Ransomware

Erschreckende Zahlen zu Ransomware-Attacken weltweit

Empfehlungen zur Prävention

Die Analyse des Angriffs unterstreicht die Bedeutung mehrerer Sicherheitsmaßnahmen:

• Regelmäßige Überwachung von Debug-Ports und ungewöhnlichen Prozess-Hierarchien

• Erkennung von Webshell-Kommandos und deren Korrelation mit Netzwerkverkehr

• Analyse von sogenannten Parent-Child-Beziehungen bei Prozessen

• Monitoring der Installation und Nutzung von Remote-Management-Tools

• Überwachung von RDP-Verbindungen und Authentifizierungsmustern

• Erkennung von Veränderungen an Scheduled Tasks

• Schutz vor Credential Dumping

• Baseline-Erstellung für normale Benutzeraktivitäten und Erkennung von Abweichungen

• Überwachung von Dateitransfers über SMB

• Schutz von Backup- und Wiederherstellungsmechanismen

Fazit

Die detaillierte Analyse des Hunters-International-Angriffs zeigt deutlich, dass moderne Ransomware-Kampagnen hochprofessionell durchgeführt werden und verschiedenste Angriffsvektoren und Techniken kombinieren. Ein erfolgreicher Schutz erfordert daher einen ganzheitlichen Ansatz: Neben der technischen Überwachung kritischer Systeme und Prozesse müssen Unternehmen auch ihre organisatorischen Abläufe regelmäßig überprüfen und anpassen. Besonders wichtig ist dabei die kontinuierliche Weiterentwicklung der Erkennungs­regeln und Response-Pläne, da Angreifergruppen wie Hunters International ihre Taktiken ständig verfeinern. Die Vorfallsanalyse unterstreicht zudem die Bedeutung eines funktionierenden Backup-Systems – dieses muss jedoch aktiv vor Manipulation durch Angreifer geschützt werden, da das Ausschalten von Wiederherstellungsoptionen mittlerweile zum Standardvorgehen bei Ransomware-Attacken gehört.

Über den Autor: Kristian von Mejer ist Director, Central and Eastern Europe bei Forescout Technologies.

(ID:50308705)