Black Hat Hacker stiehlt Nutzerdaten vom Notebook

Karo Ransomware als Folge eines erfolgreichen Social-Engineering-Angriffs

  • Darstellung eines realen Vorfalls

  • Tipps für vorbeugende Maßnahmen

Bei einem unserer Kunden haben wir kürzlich eine Karo Ransomware Attacke festgestellt, die durch einen erfolgreichen Social-Engineering-Angriff verursacht wurde. Gerne möchten wir Ihnen den untersuchten Vorfall schildern und Ihnen praktische Tipps für vorbeugende Maßnahmen mit an die Hand geben.

Details der Analyse

Im Rahmen der Netzwerküberwachung im Certified Security Operations Center (CSOC) wurde kürzlich ein Event mit der Meldung „Tor Activity to the Internet“ untersucht. Die Analyse unseres Teams ergab, dass bei einem unserer angeschlossenen Kunden über den für Tor-Verbindungen bekannte Port 9001 mehrere Verbindungen zu einem System mit einer IP aufgebaut wurden, welche als Tor-Knoten fungierte und eine schlechte Reputation aufwies.

Durch Auswertung der vorliegenden PCAP-Datei wurde festgestellt, dass mehrere Tor-Domänen anvisiert wurden. Außerdem ergab die Analyse der übertragenen Paketdaten der weiteren Meldung „SMTP to the Internet“, dass ein User durch Social Engineering Techniken überlistet wurde, eine täuschend echt aussehende E-Mail mit schadhaftem Anhang zu öffnen. Das anschließend geöffnete Dokument enthielt einen VBA-Skript (Visual Basic for Applications), der mehrere verdächtige Javascript Strings nachgeladen und zur Ausführung gebracht hatte. Die Strings ermöglichten damit die Ausspähung des Zielsystems nach Daten wie Benutzernamen sowie Computernamen, um anhand dieser Daten Prozessinformationen abzurufen und in das System einzudringen.

Anschließend wurden mehrere Tor-Domänen kontaktiert, um die Malware 'Microsoft.vshub.32.exe' herunterzuladen und auszuführen. Um eine Ping-Anfrage zu initiieren bzw. um über Google Chrome eine Verbindung zu mehreren Command and Control (C2) Servern herzustellen, startete die im System ausgebreitete Malware die ‚cmd.exe‘. Die Untersuchung der Strings hat schließlich ergeben, dass es sich bei genutzten Angriffsmethode um die Karo Ransomware Attacke handelt. Ein erfolgreicher Abschluss dieser Attacke hat oftmals die Verschlüsselung von Daten und eine Lösegeldforderung zur Folge.

In diesem beschriebenen Fall konnte die Attacke rechtzeitig abgewehrt werden. Unser Kunde wurde durch unser Blue-Team umgehend informiert, sodass entsprechende Maßnahmen eingeleitet werden konnten. Größere Schäden in der Infrastruktur des Kunden konnten so verhindert werden.

Unsere Maßnahmenempfehlungen

  • Bieten Sie Mitarbeitern regelmäßige Security Awareness Schulungen an, um Sie im Umgang mit E-Mails zu sensibilisieren.
  • Führen Sie regelmäßig Datenbackups Ihrer Daten vom Netzwerk auf getrennten Speichermedien durch.
  • Deaktivieren Sie Dateien, die in den Ordnern "Local AppData" oder "AppData" ausgeführt werden.
  • Die Ausführung von Makros sollte grundsätzlich nur mit festgelegten digitalen Signaturen erlaubt werden.
  • Automatisches Ausführen von Javascript bei Doppelklick sollte verhindert werden.