Embargo Ransomware Raffinierte Ransomware-Bande killt Security-Lösungen

Anbieter zum Thema

ESET Deutschland GmbH

Fsas Technologies GmbH

FAST LTA GmbH

FTAPI Software GmbH

Die Ransomware-Gruppe Embargo nutzt neue Tools, die in der Lage sind, die Sicherheitslösungen auf infizierten Systemen zu deaktivieren. Möglich macht dies die geschickte Ausnutzung des abgesicherten Modus und eines anfälligen Treibers.

Im Juli 2024 beobachteten die Forscher von Eset Ransomware-Attacken, die auf US-Unternehmen abzielten. Hinter den Vorfällen steckt laut Eset die Ransomware-Gruppe Embargo – eine noch junge Bande, die die Forscher erstmals im Juni 2024 entdeckten. Bei diesen Vorfällen setzten die Akteure neue Tools ein: den Loader „MDeployer“, ein Programm, das nach seiner Installation weiteren Code nachladen und ausführen kann, und den EDR-Killer „MS4Killer“. Vor allem Letzteres ist den Analysten zufolge bemerkenswert, da es speziell für die Umgebung des jeweiligen Opfers kompiliert wurde und in der Lage ist, ausgewählte Endpoint-Detection-and-Response-Lösungen (EDR) anzugreifen und auszuschalten. Beide Tools sind in Rust geschrieben, die von der Embargo-Gruppe bevorzugte Sprache.

Experten warnen vor Lösegeldzahlungen

Wie Ransomware deutsche Unternehmen lahmlegt

Wer steckt hinter Embargo?

Ihrer Herangehensweise nach betrachtet, scheint Embargo eine gut ausgestattete Hacker-Gruppe zu sein. Wie die Analysten von Eset herausfanden, richtet sie eine eigene Infrastruktur für die Kommunikation mit ihren Opfern ein. Gleichzeitig ermöglicht Embargo aber auch die Kommunikation über Tox, eine dezentrale Messaging-Plattform, die Cyberkriminellen zur verschlüsselten und anonymen Kommunikation dient. Die Gruppe zwingt ihre Opfer durch doppelte Erpressung zur Zahlung und veröffentlicht die gestohlenen Daten auf ihrer Leak-Site. Vermutlich bietet Embargo seine Ransomware auch als Ransomware as a Service an.

Semperis Ransomware Risk Report 2024

75 Prozent der Ransomware-Opfer in Deutschland zahlen Lösegeld

So funktioniert Embargos EDR-Killer

MDeployer ist laut Eset der wichtigste Loader, den Embargo nutzt. Er wird versucht auf den Rechnern im kompromittierten Netzwerk zu installieren und erleichtert das Ausführen der Ransomware und die Verschlüsselung von Dateien. Doch sein Hauptzweck besteht darin, zwei verschlüsselte Dateien „a.cache“ und „b.cache“ zu entschlüsseln und zwei Nutzlasten auszuführen: MS4Killer und Embargo Ransomware.

Zunächst entschlüsselt der Loader die MS4Killer-Nutzlast aus der Datei „b.cache“, legt die entschlüsselte Datei in „praxisbackup.exe“ ab und führt sie aus. Als Nächstes wird dasselbe für die Ransomware-Nutzlast getan. Sie wird aus „a.cache“ entschlüsselt, als „pay.exe“ gespeichert und ausgeführt. Hat die Ransomware die Verschlüsselung des Systems abgeschlossen, beendet MDeployer den MS4Killer-Prozess und löscht die entschlüsselten Nutzdaten sowie eine von MS4Killer abgelegte Treiberdatei und startet das System neu.

In allen MDeployer-Versionen, die die Analysten von Eset gesehen haben, wurden beide Nutzdaten mit demselben fest kodierten RC4-Schlüssel entschlüsselt. In fast allen Fällen wurde MDeployer als Dynamic Link Library (DLL) eingesetzt. Ist dies der Fall, überprüft die DLL, ob ob sie mit Administratorrechten ausgeführt wurde. War dies so, versucht der Loader, das System des Opfers im abgesicherten Modus neu zu starten, um ausgewählte Sicherheitslösungen zu deaktivieren. Da der abgesicherte Modus das System mit nur minimalen Funktionen ausführt, sind die meisten Sicherheitsmaßnahmen und Schutzmechanismen im abgesicherten Modus nicht wirksam. Dadurch nutzen Bedrohungsakteure diesen Modus aus, um unentdeckt zu bleiben.

Eset empfiehlt Unternehmen, eine aktuelle Sicherheitslösung zu verwenden, die mit solch neuen Tools mithalten kann. Besonderen Fokus sollten Admins darauf legen, dass der Ransomware-Schutz aktiviert ist, um sich vor der Embargo Ransomware und anderen Stämmen zu schützen.

Die Lage der IT-Sicherheit 2024

BSI sieht Bedrohungslage als „besorgniserregend“

(ID:50234656)