LeakNet Ransomware
Die Ransomware-Operation LeakNet hat eine bemerkenswerte Weiterentwicklung der Angriffstaktiken eingeleitet, indem sie die ClickFix-Social-Engineering-Technik als primären Zugangsweg nutzt. Dieser Ansatz manipuliert Nutzer dazu, unter dem Vorwand, fingierte Systemfehler zu beheben, schädliche Befehle auszuführen. Anders als bei traditionellen Zugriffsmethoden, wie dem Kauf gestohlener Zugangsdaten von IAB-Brokern, nutzt diese Taktik direkt das Vertrauen und das gewohnte Verhalten der Nutzer aus.
Kompromittierte, aber ansonsten legitime Websites werden missbraucht, um gefälschte CAPTCHA-Abfragen auszulösen. Diese Abfragen fordern Nutzer auf, einen schädlichen Befehl namens msiexec.exe über das Windows-Ausführen-Dialogfeld zu kopieren und auszuführen. Da die Interaktion alltägliche Systemaktivitäten imitiert, wirkt der Angriff routinemäßig und erregt nicht sofort Verdacht. Diese breit angelegte, opportunistische Strategie ermöglicht es, branchenübergreifend und ohne Diskriminierung Angriffe durchzuführen.
Inhaltsverzeichnis
Strategischer Kurswechsel: Unabhängigkeit von Initial Access Brokern
Der Wechsel von LeakNet zu ClickFix ist ein wohlüberlegter Schritt. Durch die Unabhängigkeit von externen Anbietern von Zugangsdaten reduziert das Unternehmen Kosten und Verzögerungen beim Zugriffserwerb. Diese Unabhängigkeit beseitigt einen zentralen Engpass und ermöglicht es, Kampagnen schneller und effizienter zu skalieren.
Darüber hinaus verringert die Nutzung kompromittierter legitimer Infrastruktur anstelle von Angreifer-kontrollierten Systemen die Anzahl erkennbarer Netzwerkindikatoren erheblich. Dies führt dazu, dass herkömmliche, auf dem Perimeter basierende Verteidigungsmaßnahmen weniger effektiv sind, da sich schädliche Aktivitäten nahtlos in den vertrauenswürdigen Datenverkehr einfügen.
Dateilose Ausführung: Der Deno-basierte Loader in Aktion
Ein wesentliches technisches Merkmal dieser Angriffe ist der Einsatz eines gestaffelten Command-and-Control-Loaders, der auf der Deno-JavaScript-Laufzeitumgebung basiert. Dieser Loader führt Base64-kodierten JavaScript-Code direkt im Speicher aus, wodurch Festplattenzugriffe vermieden und forensische Spuren minimiert werden.
Sobald der Lader aktiv ist, erfüllt er mehrere wichtige Funktionen:
- Erstellt Profile des kompromittierten Systems, um Informationen über die Umgebung zu sammeln.
- Stellt eine Verbindung zu einem externen Server her, um sekundäre Nutzdaten abzurufen.
- Gewährleistet die Persistenz durch einen Abfragemechanismus, der kontinuierlich zusätzlichen Code abruft und ausführt.
Dieses dateilose Ausführungsmodell verbessert die Tarnung und erschwert die Erkennung durch herkömmliche Sicherheitswerkzeuge.
Konsequentes Vorgehen nach der Ausbeutung
Trotz unterschiedlicher Zugriffsmethoden folgen die Operationen von LeakNet nach einer Kompromittierung einem vorhersehbaren Ablauf. Diese Konsistenz bietet Verteidigern wertvolle Möglichkeiten zur Erkennung und Störung vor dem Einsatz von Ransomware.
Die typische Angriffssequenz umfasst:
- DLL-Sideloading zur Ausführung bösartiger Bibliotheken, die vom Loader bereitgestellt werden.
- Seitliche Bewegung mithilfe von Tools wie PsExec zur Erweiterung des Netzwerkzugriffs
- Aufklärung der Anmeldeinformationen über cmd.exe /c klist zur Identifizierung aktiver Authentifizierungssitzungen
- Datenbereitstellung und -exfiltration über S3-Buckets, wobei die Aktivität als legitimer Cloud-Datenverkehr getarnt wird.
- Abschließende Verschlüsselungsphase zur Bereitstellung von Ransomware
Durch die Verwendung nativer Windows-Tools und gängiger Cloud-Dienste können bösartige Aktionen in das normale System- und Netzwerkverhalten einfließen.
Bedrohungsprofil: Ursprung und Zielgebiet
LeakNet, das im November 2024 ins Leben gerufen wurde, positionierte sich zunächst als „digitale Kontrollinstanz“ und propagierte Transparenz und Internetfreiheit. Die beobachteten Aktivitäten lassen jedoch auf ein breiteres und aggressiveres operatives Spektrum schließen, das auch Angriffe auf Industrieunternehmen umfasst.
Die Strategie der Kampagne, wahllos auf bestimmte Zielgruppen ausgerichtet zu sein, in Kombination mit skalierbaren Infektionsmethoden, unterstreicht ihre Absicht, die Reichweite zu maximieren, anstatt sich auf bestimmte Sektoren zu konzentrieren.
Defensive Implikationen: Vorhersagbarkeit als Vorteil
Obwohl sich die Einbruchstechniken von LeakNet weiterentwickelt haben, stellt die Abhängigkeit von einer wiederholbaren Angriffskette eine entscheidende Schwachstelle dar. Jede Phase des Angriffs, von der Ausführung über die laterale Ausbreitung bis hin zur Datenexfiltration, folgt erkennbaren Verhaltensmustern.
Diese Konstanz ermöglicht es den Verteidigern:
- Anomale Nutzung legitimer Systemwerkzeuge erkennen
- Überwachen Sie ungewöhnliche Ausführungsmuster im Speicher.
- Identifizieren Sie verdächtige Cloud-Speicherinteraktionen.
- Den Angriffsablauf unterbrechen, bevor die Verschlüsselung erfolgt.
Die wichtigste Erkenntnis ist klar: Auch wenn die Methoden des ersten Zugriffs variieren können, bleibt der zugrunde liegende operative Plan stabil und bietet vielfältige Möglichkeiten zur Früherkennung und Reaktion.
