Was ist Quantum Ransomware?
Inhaltsverzeichnis:
Quantum-Ransomware, ein Stamm, der seit seiner Entdeckung im Juli 2021 erhebliche Aufmerksamkeit erlangt hat, hat sich als besonders bösartige und sich schnell entwickelnde Form von Ransomware erwiesen. Während Cybersecurity-Profis danach streben, den Cyberkriminellen einen Schritt voraus zu sein, wird es unerlässlich, die Feinheiten und möglichen Auswirkungen von Quantum-Ransomware zu verstehen. Es ist eine Untervariante von MountLocker-Ransomware, zusammen mit AstroLocker und XingLocker. Trotz geringerer Aktivität als seine verwandten Stämme fordert es Lösegeldzahlungen zwischen 150.000 und mehreren Millionen Dollar, was mit dem Mutterstamm vergleichbar ist.
Eines der auffälligsten Merkmale der Quantum-Ransomware ist, dass sie in außergewöhnlich schnellen Angriffen eingesetzt wird. Opfer haben in der Regel nur wenige Stunden zwischen der anfänglichen Infektion und der Verschlüsselung ihrer Dateien. Dabei nutzen Angreifer das Überraschungsmoment und schlagen häufig außerhalb der regulären Arbeitszeiten zu. Die Quantum-Gruppe umfasst Mitglieder der Conti, einer weiteren berüchtigten Cybercrime-Gruppe, die kürzlich ihre Ransomware-Operationen freiwillig eingestellt hat, um im Rahmen anderer Ransomware-Untergruppen mit unterschiedlichen Motivationen und Betriebsstrategien wieder aufzutauchen.
Die Gegner haben eine operative TOR-Plattform speziell für Lösegeldverhandlungen neben einer Daten-Leak-Plattform namens „Quantum Blog“ eingerichtet.
Ein Hauptziel der Quantum-Ransomware im vergangenen Jahr waren Akteure in der Gesundheitsbranche. Die Gruppe infiltrierte erfolgreich ein Netzwerk von 657 Gesundheitsanbietern, was zum Diebstahl persönlicher Informationen von über 1,9 Millionen Opfern führte.
Als Teil ihrer anfänglichen Infiltrationsmethoden setzten die Gegner die IcedID-Malware (per E-Mail zugestellt) als Mittel zur Zugangserlangung ein und nutzten Cobalt Strike zur Fernsteuerung. Dies führte letztlich zur illegalen Erfassung sensibler Informationen und zur Implementierung von Quantum Locker zur Datenverschlüsselung.
Was ist Quantum Locker?
Im Laufe der letzten zwei Jahre hat die Quantum Locker-Ransomware durch ihre schnellen und entscheidenden Angriffe Berühmtheit erlangt, die Sicherheitsteams nur ein enges Zeitfenster zur wirksamen Reaktion lässt. In bestimmten Fällen gelang es den Gegnern, die Ransomware innerhalb von nur vier Stunden nach dem Angriff einzusetzen.
Nach einem Sicherheitsvorfall haben betroffene Unternehmen und Einzelpersonen ein begrenztes 72-Stunden-Fenster, um Kontakt mit den Tätern aufzunehmen. Ein Versäumnis, dies zu tun, führt dazu, dass die gestohlenen Daten auf einer in diesem Artikel oben genannten öffentlichen Website zugänglich sind, kostenlos zum Herunterladen für jedermann.
Um den Verschlüsselungsprozess zu rationalisieren, identifiziert und stoppt die Quantum-Ransomware Datenbankdienstprozesse, beseitigt deren Zugriffsbeschränkungen auf wertvolle Datenbankinhalte und ermöglicht es der Ransomware, diese zu verschlüsseln. Das primäre Verschlüsselungsverfahren von Quantum verwendet eine .dll oder .exe ausführbare Datei, die ein hybrides Kryptographie-Schema verwendet, das ChaCha20 für die symmetrische Dateiverschlüsselung und einen RSA-2048-Public-Key zum Verschlüsseln des einzelnen ChaCha20-symmetrischen Verschlüsselungsschlüssels verwendet.
Verwendung von IcedID als anfänglicher Zugriff
Quantum-Ransomware wird durch gezielte E-Mail-Phishing-Kampagnen distribuiert, wobei anfängliche Schadsoftware wie IcedID oder BumbleBee-Loaderzum Einsatz kommen. In C++ geschrieben, fungiert BumbleBee als Loader, der eine einzige Funktion umfasst, die für die Initialisierung, Umgang mit Antworten und Übermittlung von Anfragen verantwortlich ist. Nach der Ausführung auf einem kompromittierten Gerät sammelt die Malware sorgfältig die Daten des Opfers und kommuniziert sie an den Kommando- und Kontrollserver (C2). IcedID (auch bekannt als BokBot) stellt eine relativ neue Variante von Malware dar, die sowohl als Bank-Trojaner als auch als Fernzugriffs-Trojaner (RAT) klassifiziert ist. Bemerkenswert für seine Fähigkeiten, steht IcedID auf Augenhöhe mit anderen fortgeschrittenen Bank-Trojanern wie Zeus, Gozi und Dridex. Als Malware der zweiten Stufe hängt IcedID von einer vorhergehenden Malware der ersten Stufe ab, um anfänglichen Zugriff zu etablieren und seine Bereitstellung zu erleichtern. Kürzliche Entdeckungen haben neue Varianten von IcedID enthüllt, die sich von ihrer typischen Funktionalität im Bereich des Onlinebankbetrugs abwenden. Stattdessen priorisieren diese Varianten die Installation zusätzlicher Malware auf kompromittierten Systemen. In einem bemerkenswerten Abweichen von ihrem traditionellen Modus Operandi hat IcedID eine signifikante Evolution durchlaufen, die eine Verschiebung ihrer Ziele zeigt. Anstatt ausschließlich Onlinebanking-Betrug ins Visier zu nehmen, legen diese neuen Iterationen eine verstärkte Betonung darauf, einen Fuß in kompromittierten Systemen zu fassen, um die Bereitstellung anderer bösartiger Nutzlasten zu erleichtern.
Diese Nutzlasten importieren die primäre Quantum Locker-Ransomware und ergänzende Werkzeuge auf kompromittierte Systeme.
Die bösartige E-Mail enthält eine .iso-Abbilddatei, die den IcedID-Loader im Format einer DLL (dar.dll) beherbergt. Zudem enthält die E-Mail eine irreführende .LNK-Verknüpfungsdatei, die als legitimes Dokument erscheinen soll, tatsächlich jedoch die IcedID-Nutzlast ins Visier nimmt.
Anschließend führen Angreifer eine schnelle Netzwerkerkennung durch, insbesondere um Remote-Desktop-Zugriff (RDP) auf andere Netzwerkknoten zu erlangen. Wenn der Zugriff auf angrenzende Systeme erlangt wird, übertragen Angreifer manuell das Quantum-Verschlüsselungs-Binary, ttsel.exe, in den freigegebenen Ordner jedes Hosts.
In den frühen Phasen eines Quantum-Angriffs werden eine Reihe von Toolkits eingesetzt, darunter Cobalt Strike Beacon, Rclone, das Ligolo-Tunneling-Tool, ProcDump, ADFind und Local Security Authority Subsystem Service (Lsass.exe), für Netzwerkaufklärung und laterale Bewegung verwendet. NPPSpy wird zum Diebstahl sensibler Daten verwendet, während „Living Off The Land“-Tools wie WMI, PsExec und PowerShell eingesetzt werden. Es ist wichtig zu beachten, dass Quantum-Angriffe in erster Linie auf manuelle Exploits durch menschliche Operatoren angewiesen sind, anstatt auf komplexe automatisierte Skripte oder Toolkits. Eine der ausgefeilteren Techniken von Quantum, bekannt als „Process Hollowing“, beinhaltet das Initiieren eines cmd.exe-Prozesses und das Injizieren von CobaltStrike in den Speicher des Prozesses, um das Erkennen zu umgehen. Um verdeckte Operationen aufrechtzuerhalten, erkennt und beendet Quantum aktiv Prozesse, die mit Malware-Analysen verbunden sind, wie ProcMon, Wireshark, CND und den Task-Manager.
Quantum-Ransomware bei schnellen Netzwerkausfällen beobachtet
Was Quantum Locker-Ransomware auszeichnet, ist ihre beispiellose Geschwindigkeit der Ausführung. Innerhalb weniger Stunden führen Angreifer erfolgreich Ransomware aus, was Sicherheitsfachleuten nur wenig Zeit lässt, um effektiv zu reagieren. Die Konsequenzen können schwerwiegend sein, da kritische Daten als Geisel gehalten und Geschäftsoperationen zum Stillstand gebracht werden. Im Gegensatz zu vielen automatisierten Ransomware-Angriffen wird Quantum-Ransomware hauptsächlich von erfahrenen menschlichen Operatoren betrieben. Dieser manuelle Ansatz ermöglicht es Angreifern, ihre Techniken anzupassen und traditionelle Sicherheitsmaßnahmen zu umgehen, was es Organisationen noch schwieriger macht, die Bedrohung zu erkennen und zu mildern.
Gegner haben Geschwindigkeit als mächtige Waffe angenommen, indem sie Schwachstellen schnell ausnutzen und Systeme innerhalb von Minuten oder sogar Sekunden infiltrieren. Das Überraschungsmoment kombiniert mit blitzschneller Ausführung hat sich für Cyberkriminelle als äußerst effektiv erwiesen. Die Konsequenzen sofort ausgeführter Cyberangriffe sind weitreichend. Organisationen kämpfen in rekordverdächtiger Zeit mit kompromittierten Daten, gestörten Abläufen und Reputationsschäden. Darüber hinaus übt das beschleunigte Tempo dieser Angriffe enormen Druck auf Sicherheitsteams aus, die den Einbruch schnell identifizieren und eindämmen müssen, um den Schaden zu minimieren.
Um Organisationen dabei zu helfen, mit den wachsenden Volumen und der zunehmenden Komplexität von Quantum-Ransomware-Angriffen Schritt zu halten, bietet die SOC Prime Plattform eine Reihe kuratierter Sigma-Regeln für die proaktive Erkennung. Durch Klicken auf die Explore Detections -Schaltfläche können Teams die gesamte Liste der relevanten Sigma-Regeln erhalten, die zu MITRE ATT&CK® v12 zugeordnet und mit umfassendem Cyber-Bedrohungskontext angereichert sind. Alle Sigma-Regeln sind ebenfalls bereit zur Implementierung in Dutzenden von Sicherheitslösungen, sodass Organisationen eine Anbietersperre vermeiden können.
Hintergrund der Quantum-Ransomware
Während Quantum Locker möglicherweise nicht das gleiche Aktivitätsniveau wie andere prominente Ransomware-Operationen wie Conti, LockBit, und AVOS, aufweist, bleibt es eine bedeutende Bedrohung, die die Aufmerksamkeit von Netzwerkverteidigern erfordert. Es ist entscheidend zu verstehen, dass die Bedrohungslandschaft sich ständig weiterentwickelt und Ransomware-Gruppen wie Quantum-Ransomware ihre TTPs schnell anpassen können, um Schwachstellen auszunutzen und der Erkennung zu entgehen. Durch das Aufrechterhalten eines Bewusstseins für die Techniken von Quantum Locker können Verteidiger potenzielle Angriffe besser antizipieren und darauf reagieren, indem sie robuste Sicherheitsmaßnahmen implementieren, regelmäßige Backups durchführen, Schwachstellen zeitnah patchen und Mitarbeiter über Phishing und andere Social-Engineering-Techniken aufklären.
Die reduzierte Aktivität von Quantum Locker könnte auf verschiedene Faktoren zurückzuführen sein, einschließlich Änderungen im operativen Fokus der Angreifer, sich verändernde Prioritäten oder verstärkte Bemühungen von Cybersecurity-Profis, ihre Operationen zu stören. Es ist jedoch wichtig zu beachten, dass selbst eine kleine Anzahl erfolgreicher Angriffe zu erheblichen finanziellen Verlusten, Reputationsschäden und betrieblichen Störungen bei den angegriffenen Organisationen führen kann. Schnelle Cybersecurity-Angriffe sind zu einem beunruhigenden neuen Trend geworden, der Organisationen weltweit vor erhebliche Herausforderungen stellt. Da Gegner weiterhin Schwachstellen mit atemberaubender Geschwindigkeit ausnutzen, ist es entscheidend für Unternehmen, ihre Verteidigungsmaßnahmen entsprechend zu stärken.
Entdecken Sie SOC Prime Plattform , um Ihr Team mit den besten Werkzeugen auszustatten, die jeder Cyberverteidiger unabhängig von seinem Reifegrad und der verwendeten Technologiestack benötigen sollte. Verlassen Sie sich auf die Kraft der kollektiven Branchenerfahrung, um von bahnbrechenden Lösungen zu profitieren, die durch die Sigma-Sprache unterstützt werden und in Kombination mit dem MITRE ATT&CK-Framework verwendet werden, um eine kosteneffiziente und zukunftssichere Cyberverteidigung zu ermöglichen.
