Venafi, Anbieter des Managements von Maschinenidentitäten, stellt die Ergebnisse einer Dark-Web-Untersuchung zu Ransomware vor, die über bösartige Makros verbreitet wird. Im Rahmen der Untersuchung, die in Zusammenarbeit mit dem „Criminal Intelligence“-Dienstleister Forensic Pathways zwischen November 2021 und März 2022 durchgeführt wurde, wurden 35 Millionen Dark-Web-URLs, darunter Marktplätze und Foren, mithilfe der Forensic Pathways Dark Search Engine analysiert.
Dabei wurden 475 Webseiten mit ausgeklügelten Ransomware-Produkten und -Dienstleistungen aufgedeckt, wobei mehrere aktive Gruppen aggressiv Ransomware-as-a-Service vermarkten.
- 87 Prozent der im Dark Web gefundenen Ransomware wurde über bösartige Makros verbreitet, um Zielsysteme zu infizieren.
- 30 verschiedene „Marken“ von Ransomware wurden in Marktplatzangeboten und Forumsdiskussionen identifiziert.
- Viele der verkauften Ransomware-Stämme – wie Babuk, GoldenEye, Darkside/BlackCat, Egregor, HiddenTear und WannaCry – wurden bereits erfolgreich bei Angriffen eingesetzt.
- Ransomware-Arten, die in aufsehenerregenden Angriffen eingesetzt wurden, verlangen einen höheren Preis für die damit verbundenen Dienstleistungen. Das teuerste Angebot war beispielsweise 1.262 US-Dollar für eine angepasste Version der Darkside-Ransomware, die bei dem berüchtigten Colonial Pipeline-Ransomware-Angriff im Jahr 2021 verwendet wurde.
- Für den Quellcode bekannter Ransomware werden in der Regel höhere Preise verlangt. Der Quellcode von Babuk wird für 950 US-Dollar und der von Paradise für 593 US-Dollar angeboten.
„Ransomware ist nach wie vor eines der größten Cybersecurity-Risiken für jedes Unternehmen“, sagt Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi.
Makros werden verwendet, um gängige Aufgaben in Microsoft Office zu automatisieren und so die Produktivität zu steigern. Angreifer können jedoch dieselbe Funktionalität nutzen, um viele Arten von Malware, einschließlich Ransomware, zu verbreiten. Im Februar kündigte Microsoft eine größere Änderung an, um die rasante Zunahme von Ransomware-Angriffen zu bekämpfen, die über bösartige Makros ausgeführt werden, hat diese Entscheidung aber aufgrund des Feedbacks der Community vorübergehend revidiert.
Neben einer Vielzahl von Ransomware in verschiedenen Preisklassen wurde bei der Untersuchung auch eine breite Palette von Diensten und Tools aufgedeckt, die es Angreifern mit minimalen technischen Kenntnissen erleichtern, Ransomware zu verbreiten. Zu den am häufigsten aufgeführten Diensten gehören solche, die Quellcode, Build-Dienste, individuelle Entwicklungsdienste und Ransomware-Pakete mit Schritt-für-Schritt-Anleitungen anbieten.
Generische Ransomware-Erstellungsdienste haben ebenfalls einen hohen Preis, wobei einige Angebote mehr als 900 US-Dollar kosten. Am anderen Ende des Preisspektrums sind viele kostengünstige Ransomware-Optionen über mehrere Angebote verfügbar – mit Preisen ab nur 0,99 US-Dollar für Lockscreen-Ransomware.
Diese Ergebnisse sind ein weiterer Beleg, dass es einer Steuerungsebene für das Maschinenidentitätsmanagement bedarf, um Maschinenidentitäten zu überwachen. Darüber hinaus braucht es Konsistenz und Zuverlässigkeit bei der Verwaltung dieser Identitäten. Insbesondere die Codesignierung ist eine wichtige Sicherheitskontrolle für das Maschinenidentitätsmanagement, die die Bedrohung durch Makro-aktivierte Ransomware beseitigt.
„Die Verwendung von Code Signing-Zertifikaten zur Authentifizierung von Makros bedeutet, dass unsignierte Makros nicht ausgeführt werden können, wodurch Ransomware-Angriffe bereits im Ansatz gestoppt warden“, schließt Bocek. „Dies ist eine Chance für Sicherheitsteams, ihre Unternehmen zu schützen, insbesondere im Banken-, Versicherungs-, Gesundheits- und Energiesektor, wo Makros und Office-Dokumente tagtäglich zur Entscheidungsfindung eingesetzt werden.“
Über die Nachforschung
Diese Nachforschung wurde zwischen November 2021 und März 2022 von Venafi in Zusammenarbeit mit Forensic Pathways durchgeführt, das die Dark Search Engine (DSE) entwickelt hat, einen automatischen Crawler/Scraper des Tor. Onion Dark Web. Das Aufklärungswerkzeug enthält >35 Millionen URLs im Index.
Öffentlich zugängliche Informationen, wie z. B. PC Risk, wurden verwendet, um festzustellen, ob bösartige Makros für den ursprünglichen Angriffsvektor verwendet wurden.
www.venafi.com