FONIX Ransomware als Dienst-Erkennung
Inhaltsverzeichnis:
Eine weitere Ransomware-as-a-Service-Plattform bereitet sich darauf vor, ein Spiel mit hohem Einsatz mit Organisationen zu spielen. Forscher von Sentinel Labs entdeckten die ersten Angriffe mit der FONIX-Plattform vor etwa drei Monaten. Jetzt wird diese RaaS-Plattform noch aktiv weiterentwickelt, aber ihre ersten Kunden probieren bereits ihre Fähigkeiten aus. Bisher ist FONIX recht umständlich zu benutzen, sein Verschlüsselungsprozess ist eher langsam, aber die Ransomware wird von den meisten Sicherheitslösungen schlecht erkannt. Und diese letzte Eigenschaft könnte die Hauptnachteile überwiegen. Darüber hinaus ist es völlig kostenlos, eine bösartige Probe zu erhalten und während eines Angriffs zu verwenden: Die FONIX-Autoren erhalten später 25 % des Lösegeldbetrags.
FONIX Ransomware langsam, aber effektiv
Die Langsamkeit der Verschlüsselung liegt daran, dass während eines Angriffs nicht bestimmte Dateitypen, sondern generell alles außer kritischen Systemdateien verschlüsselt wird. Ein weiterer Faktor, der den Angriff verlangsamt, ist die Nutzung einer Mischung aus Verschlüsselungsprotokollen (Chacha, AES, Salsa20 und AES) während des Verschlüsselungsprozesses. Vielleicht zeigt dieser Ansatz die Unerfahrenheit der Autoren in diesem Bereich, die Geschwindigkeit für die garantierte Unmöglichkeit opfern, dass Opfer Daten selbst entschlüsseln können. Die Forscher vermuten, dass Gegner an der Entwicklung von binären Crypteren beteiligt waren.
E-Mail-Kommunikation und Dateiexfiltration
Im Gegensatz zu den meisten RaaS-Plattformen verfügt FONIX nicht über ein Dashboard zur Verfolgung und Verwaltung bösartiger Kampagnen. Stattdessen arbeiten seine Autoren an E-Mail-Diensten, um die Kommunikation mit Opfern zu anonymisieren (möglicherweise auch um die Aktivität von Partnern zu verfolgen). Aber vorerst sind Partner gezwungen, Drittanbieter-E-Mail-Dienste für die Kommunikation zu nutzen, was sie in Gefahr bringt. Um Dateientschlüsselung zu testen und einen Entschlüsseler nach Erhalt eines Lösegelds zu erhalten, sind Cyberkriminelle gezwungen, sich an die Ransomware-Autoren zu wenden, was ebenfalls zusätzliche Risiken birgt.
Bemerkenswert ist, dass während der erkannten Angriffe die Partner die Daten nicht gestohlen haben, sodass die Bedrohung der Offenlegung das Opfer dazu zwingen würde, ein Lösegeld zu zahlen. Aber dies zeigt eher die Unerfahrenheit der Angreifer an, und erfahrene Cyberkriminelle könnten durchaus sensible Informationen exfiltrieren, bevor sie die Systeme verschlüsseln.
Bisher gab es keine hochkarätigen Angriffe mit dieser Ransomware, und damit das nie passiert, entwickelte Osman Demir die Community Threat Hunting Regel, um sie zu erkennen: https://tdm.socprime.com/tdm/info/YYuWsuf9iDSA/CEPBDHUBR-lx4sDxrTcs/
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Elastic Endpoint
MITRE ATT&CK:
Taktiken: Einfluss, Persistenz
Techniken: Daten verschlüsselt zur Beeinflussung (T1486), Registry Run Keys / Autostart-Ordner (T1060)
Bereit, den SOC Prime Threat Detection Marketplace auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty Programm bei um Ihre eigenen Inhalte zu erstellen und mit der Threat Detection Marketplace Community zu teilen.
