Sophos entdeckt Code-Ähnlichkeiten in Dridex Botnet und Entropy Ransomware

Analogien im Software-Packer und in den Subroutinen bei forensischen Untersuchungen nach Vorfällen bei einem Medienunternehmen und einer regionalen Behörde aufgespürt.

(PresseBox) - Sophos veröffentlicht heute einen neuen Bericht mit dem Titel "Dridex Bots Deliver Entropy in Recent Attacks". Thema ist die Ähnlichkeit in den Codes des Dridex-Botnet und der weniger bekannten Ransomware Entropy. Beide zeigen Analogien in drei Bereichen: im Software-Packer, der zur Verschleierung des Ransomware-Codes verwendet wird, in den Malware-Subroutinen für das Auffinden und zum Verschleiern von Befehlen (API-Aufrufe) sowie in den Subroutinen, die zur Entschlüsselung von kodiertem Text verwendet werden.

Die Security-Experten von Sophos entdeckten die Ähnlichkeiten bei der Untersuchung von zwei Vorfällen, bei denen Angreifer Dridex verwendeten, um Entropy Ransomware zu verbreiten. Die Angriffe richteten sich gegen ein Medienunternehmen und eine regionale Regierungsbehörde. Dabei wurden speziell angepasste Versionen der Entropy Ransomware Dynamic Link Library (DLL) verwendet, die den Namen des Ziels in den Ransomware-Code einbetteten. Bei beiden Angriffen setzten die Angreifer zudem Cobalt Strike auf einigen Ziel-Computern ein und schleusten mit dem Komprimierungstool WinRAR Daten in den Cloud-Speicher ein, bevor sie die Ransomware auf ungeschützten Computern starteten.

„Es ist nicht ungewöhnlich, dass Malware-Kriminelle den Code mit anderen austauschen, diesen ausleihen oder sogar stehlen. Dies geschieht mit dem Ziel, sich die Arbeit zu sparen, einen eigenen Code zu erstellen, die Zuordnung zu verschleiern oder Security-Forscher abzulenken. Diese Vorgehensweise erschwert die Beweisführung, um eine Familie verwandter Malware zu bestätigen oder 'False Flags' zu identifizieren", erklärt Andrew Brandt, Principal Researcher bei Sophos. „Bei dieser Analyse hat sich Sophos auf die Aspekte des Codes konzentriert, die offensichtlich sowohl Dridex als auch Entropy verwendet haben, um eine forensische Analyse zu erschweren. Unsere Forscher stellten fest, dass die Unterprogramme in beiden Schadprogrammen einen grundsätzlich ähnlichen Codefluss und eine ähnliche Logik aufweisen."



Unterschiedliche Angriffsmethoden trotz Ähnlichkeiten im Code

Neben den Ähnlichkeiten im Code hat die Sophos auch einige bemerkenswerte Unterschiede festgestellt. Bei dem Angriff auf das Medienunternehmen nutzten die Angreifer den ProxyShell-Exploit, um einen Exchange-Server anzugreifen und einen Remote-Shell-Befehl zu installieren. Diese nutzten die Angreifer später, um Cobalt Strike Beacons auf andere Computer zu verbreiten. Die Angreifer waren vier Monate lang im Netzwerk, bevor sie Anfang Dezember 2021 Entropy starteten.

Bei dem Angriff auf die Regierungsorganisation wurde das Ziel über einen bösartigen E-Mail-Anhang mit der Malware Dridex infiziert. Die Angreifer nutzten anschließend Dridex, um weitere Malware zu verbreiten und sich seitlich im Netzwerk des Ziels zu bewegen. Die Analyse des Vorfalls zeigt, dass die Angreifer etwa 75 Stunden nach der ersten Erkennung eines verdächtigen Anmeldeversuchs auf einem einzelnen Computer damit begannen, Daten zu stehlen und sie zu einer Reihe von Cloud-Anbietern zu übertragen.

Patchen und aktiv schützen

Die Untersuchung der Sophos Security-Spezialisten ergab, dass es den Angreifern in beiden Fällen gelang, ungepatchte und anfällige Windows-Systeme auszunutzen und legitime Tools zu missbrauchen. Regelmäßige Sicherheits-Patches und die aktive Untersuchung verdächtiger Meldungen durch Threat Hunter und Security Operations Teams machen es Angreifern schwerer, sich Zugang zu einem Ziel zu verschaffen und schädlichen Code zu installieren. Sophos Endpoint-Produkte, wie beispielsweise Intercept X, schützen Unternehmen, indem sie die Aktionen und Verhaltensweisen von Ransomware und anderen Angriffen, wie sie in dieser Sophos Studie beschrieben werden, erkennen.

Sophos ist ein weltweit führender Anbieter von Next Generation Cybersecurity und schützt mehr als 500.000 Unternehmen und Millionen von Verbrauchern in mehr als 150 Ländern vor den modernsten Cyberbedrohungen. Basierend auf Threat Intelligence, KI und maschinellem Lernen aus den SophosLabs und von SophosAI bietet Sophos ein breites Portfolio an fortschrittlichen Produkten und Services, um Anwender, Netzwerke und Endpoints vor Ransomware, Malware, Exploits, Phishing und einer Vielzahl anderer Cyberattacken zu schützen. Sophos bietet mit Sophos Central eine einzige, integrierte und cloudbasierte Management-Konsole. Sie ist das Herzstück eines anpassungsfähigen Cybersecurity-Ökosystems mit einem zentralen Data Lake, der eine Vielzahl offener API-Schnittstellen bedient, die Kunden, Partnern, Entwicklern und anderen Cybersecurity-Anbietern zur Verfügung stehen. Sophos vertreibt seine Produkte und Services über Partner und Managed Service Provider (MSPs) weltweit. Der Sophos-Hauptsitz ist in Oxford, U.K. Weitere Informationen unter http://www.sophos.de.

Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Bereitgestellt von Benutzer: PresseBox
Datum: 24.02.2022 - 16:03 Uhr
Sprache: Deutsch
News-ID 1961384
Anzahl Zeichen: 5471

Kontakt-Informationen:
Stadt:

Wiesbaden

Kategorie:

New Media & Software

Diese Pressemitteilung wurde bisher 390 mal aufgerufen.

Compliance wächst schneller als die Kapazitäten der IT-Teams ...
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun

Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit

Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen ...
Sophos-Analysten untersuchen den aktiven Missbrauch von QEMU (Quick Emulator), einem Open-Source-Maschinenemulator und Virtualisierungs-Tool. Angreifer nutzen QEMU und weitere gängigere, auf Hypervisoren basierende Virtualisierungs-Tools, wie Hyper-V, VirtualBox und VMware, seit längerer Zeit. Gru

Weitere Mitteilungen von Sophos Technology GmbH

Mobile World Congress Barcelona 28.2.-3.3. 2022 - Innovation aus Freiburg (D) ...
Die Infrafon GmbH aus Freiburg zeigt auf dem Mobile World Congress in Halle 7 7B70 ein neuartiges professionelles Kommunikationssystem. Das von der Freiburger Firma entwickelte und jetzt in Serienproduktion gefertigte Infrafon CC1 ist ein intelligentes Namensschild mit Smartphone Funktionen. Ein ein

Pfalzwerke mit Self-Services und optimalen Vertriebsprozessen nah am Kunden ...
Mannheim, 24.02.2022. Die PFALZWERKE AKTIENGESELLSCHAFT, der führende Energieversorger in der Pfalz und im Saarpfalz-Kreis, optimiert seinen Kundenservice und seine Vertriebsprozesse weiter. Dazu setzt das Unternehmen NEXOVI, einen digitalen Videoberatungsassistenten aus dem Hause PTA, ein. Dieser

Großhändler vermietet alle Geräte für den Arbeitsplatz ...
Siewert & Kau, Spezialist für IT-Vertrieb mit Mehrwert, hat im Webshop eine neue Option: Bei zahlreichen Produkten erscheint jetzt nicht nur eine Schaltfläche, die eine Auswahl in den Warenkorb legt, sondern eine neue Option erlaubt das Mieten. Möglich wird das durch eine Kooperation mit der

XPC cube der Einstiegsklasse unterstützt Intel Core Prozessoren der 10. und 11. Generation ...
Eine professionelle Mini-PC-Lösung mit interessanten Eckdaten – das Shuttle Barebone SH510R4 aus der XPC cube Familie ist mit seiner hohen Performance und Flexibilität sowie einer ausgewogenen Energieeffizienz ein idealer Partner auf jedem Schreibtisch. Gestaltbare Frontblende Drei verschiedene