>
Research (Insikt)

Neues Ransomware-as-a-Service-Tool „Thanos“ weist Verbindungen zu „Hakbit“ auf

Veröffentlicht: 10. Juni 2020
Von: Insikt Group

insikt-logo-blog.png

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Die Insikt Group ® von Recorded Future hat im Rahmen einer eingehenden Untersuchung neue Erkennungsmethoden für die Thanos -Ransomware entwickelt. Zu den Datenquellen gehörten die Recorded Future ® Plattform, Online-Multiscanner-Repositories und verschiedene OSINT-Tools.

Zur Zielgruppe dieser Untersuchung gehören Sicherheitsexperten, Netzwerkverteidiger und Experten für Bedrohungsinformationen, die sich für neue Bedrohungen durch Ransomware interessieren.

Executive Summary

Im Januar 2020 entdeckte die Insikt Group mithilfe der Recorded Future ® Plattform den Einsatz der RIPlace-Technik als Waffe und entdeckte dabei eine neue Ransomware-Familie namens Thanos, die im Exploit Forum zum Verkauf angeboten wurde und von einem Bedrohungsakteur mit dem Pseudonym „Nosophoros“ entwickelt wurde.

Nosophoros bot Thanos als privaten Ransomware-Builder an mit der Möglichkeit, neue Thanos-Ransomware-Clients basierend auf 43 verschiedenen Konfigurationsoptionen zu generieren. Recorded Future hat den Builder der Thanos-Ransomware analysiert, um die Bandbreite der von der Thanos-Ransomware unterstützten Funktionen zu erkennen, zu verstehen und auszunutzen. Der Thanos-Client ist in seiner Gesamtstruktur und Funktionalität einfach. Es ist in C# geschrieben und auch mit Verschleierung leicht zu verstehen, enthält jedoch einige erweiterte Funktionen wie die RIPlace-Technik.

Während dieser Untersuchung stellten wir eine Überschneidung zwischen unseren Erkennungen und einer Ransomware-Familie namens Hakbit fest. Aufgrund der Codeähnlichkeit, der Wiederverwendung von Zeichenfolgen und der Kernfunktionalität geht die Insikt Group mit hoher Sicherheit davon aus, dass als Hakbit verfolgte Ransomware-Beispiele mit dem von Nosophoros entwickelten Thanos-Ransomware-Builder erstellt wurden.

Die Benutzerfreundlichkeit von Thanos war für seinen Entwickler ein Vorteil, da Recorded Future die steigende Popularität der Malware in mehreren Untergrundforen beobachtet hat. Unserer Ansicht nach ist dies ein Hinweis auf den anhaltenden Trend, dass Bedrohungsakteure nach gebrauchsfertiger Ransomware suchen. Nosophoros hat Thanos in den letzten sechs Monaten mit regelmäßigen Updates und neuen Funktionen weiterentwickelt. Thanos wird als „Ransomware-Partnerprogramm“ beworben, ähnlich einem Ransomware-as-a-Service-Modell (RaaS). Thanos wird im Rahmen des Partnerprogramms weiterhin von Bedrohungsakteuren einzeln oder gemeinsam als Waffe eingesetzt.

Wichtige Urteile

  • Thanos war die erste Ransomware-Familie, die mit der Verwendung der RIPlace-Technik wirbt. Dies ist ein reales Beispiel dafür, wie Untergrundakteure Proofs of Concept aus der Sicherheitsforschung als Waffe einsetzen.
  • Die Thanos-Ransomware beinhaltet, mit Ausnahme der Verwendung von RIPlace, keine neuen Funktionen oder Techniken. Mit bewährten Methoden der Informationssicherheit, beispielsweise dem Verbot externer FTP-Verbindungen und dem Blacklisting von Downloads bekanntermaßen anstößiger Sicherheitstools, lassen sich die Risiken im Zusammenhang mit den beiden Hauptkomponenten von Thanos – Data Stealer und Lateral Movement – abwenden.
  • Aufgrund der Codeähnlichkeit, der Wiederverwendung von Zeichenfolgen und der Kernfunktionalität geht Recorded Future mit hoher Sicherheit davon aus, dass es sich bei der Thanos-Ransomware um die gängige Ransomware handelt, die von anderen Sicherheitsforschern als Hakbit identifiziert wurde.
  • Standardmäßig verwendet Thanos eine zufällige, zur Laufzeit generierte 32-Byte-Zeichenfolge als Kennwort für die AES-Dateiverschlüsselung. Die Zeichenfolge wird dann mit dem öffentlichen Schlüssel des Ransomware-Betreibers verschlüsselt und der Lösegeldforderung hinzugefügt. Ohne den entsprechenden privaten Schlüssel ist eine Wiederherstellung verschlüsselter Dateien unmöglich.
  • Der Thanos Builder beinhaltet die Option, ein statisches Passwort für die AES-Dateiverschlüsselung zu verwenden. Wenn diese Option ausgewählt ist, enthalten die von Thanos generierten Clients das zum Verschlüsseln von Dateien verwendete AES-Passwort. Durch die Analyse des Clients könnte eine Datenwiederherstellung ohne Zahlung des geforderten Lösegelds möglich sein.
  • Während der Ausführung des Thanos-Clients können die Verschlüsselungs- und Entschlüsselungsschlüssel aus dem Speicher wiederhergestellt werden, was einen Datenverlust ohne Zahlung des geforderten Lösegelds verhindern sollte.

Hintergrund

Im November 2019 veröffentlichte das Sicherheitsunternehmen Nyotron einen Proof of Concept für eine Ransomware-Technik namens RIPlace. Zum Zeitpunkt der Veröffentlichung umging RIPlace die meisten vorhandenen Anti-Ransomware-Methoden, schlüpfte an getesteten Antivirenprodukten (AV) vorbei und entging der Erkennung durch Endpoint Detection and Response (EDR)-Produkte. Nyotron hat den Fehler den aufgeführten Anbietern, darunter Microsoft, mitgeteilt. Laut Aussage von Microsoft gegenüber BleepingComputer war RIPlace zum Zeitpunkt der Erstellung dieses Artikels jedoch noch nicht in Ransomware beobachtet worden. „Diese Technik gilt daher nicht als Sicherheitslücke und da CFA eine tiefgreifende Verteidigungsfunktion ist, genügt sie nicht unseren Kriterien für Sicherheitsdienste.“ Laut BleepingComputer haben (wie zuletzt im November 2019 berichtet) nur Kaspersky und Carbon Black ihre Software geändert, um die Ausführung dieser Technik zu verhindern. Allerdings hat die Insikt Group bereits seit Januar 2020 beobachtet, dass Mitglieder des Dark Web und von Untergrundforen die RIPlace-Technik implementieren.

thanos-ransomware-builder-1-1.png Abbildung 1: Zeitleiste, die das Aufkommen der RIPlace-Technik in zum Verkauf stehender Ransomware zeigt. (Quelle: Aufgezeichnete Zukunft)

Die Insikt Group beobachtete die Thanos-Ransomware erstmals im Februar 2020, als sie vom Bedrohungsakteur Nosophoros im XSS-Forum aufgrund eines Funktionsupdates mit der RIPlace-Technik beworben wurde. Nosophoros bietet für den Thanos Builder entweder ein monatliches „Light“-Abonnement oder ein lebenslanges „Company“-Abonnement an. Die Unternehmensversion beinhaltet im Vergleich zur Light-Version zusätzliche Funktionen, wie etwa RootKit, RIPlace-Technologie, Client-Ablaufeinstellungen für Partnerprogramme und Verbreitung im LAN. Dieser Bericht basiert auf einer Analyse der lebenslangen „Unternehmens“-Version, die alle Funktionen der Thanos-Ransomware abdeckt.

Bedrohungsanalyse

Builder-Analyse

Der Thanos-Ransomware-Builder gibt den Betreibern der Ransomware die Möglichkeit, die Ransomware-Clients mit vielen verschiedenen Optionen zu erstellen. Die vollständige Benutzeroberfläche des Builders ist in Abbildung 2 zu sehen. Der Builder bietet einige Standardoptionen, erfordert jedoch die Konfiguration anderer Optionen durch den Betreiber, wie beispielsweise die Bitcoin-Adresse, die in die Lösegeldforderung aufgenommen wird. Weitere Optionen können nach Ermessen des Betreibers aktiviert werden.

thanos-ransomware-builder-2-4.png Abbildung 2: Optionen des Thanos-Ransomware-Builders. (Quelle: Aufgezeichnete Zukunft)

Sobald der Bediener die Konfigurationsphase abgeschlossen hat, generiert der Builder eine ausführbare .NET-Datei im Verzeichnis seiner Wahl. Die generierten Binärdateien scheinen das Ergebnis des Ersetzens von Zeichenfolgen in einer Binärvorlagendatei basierend auf den ausgewählten Konfigurationsoptionen zu sein und basieren auf den Konfigurationsoptionen, die die Zeichenfolgenwerte „JA“ und „NEIN“ anstelle von tatsächlichen Booleschen Werten verwenden. Ein Beispiel für ein nicht verschleiertes Beispiel mit den Konfigurationsoptionen ist in Abbildung 3 zu sehen. Wenn Sie im Builder mit der Maus über jede dieser Optionen fahren, wird eine Hilfemeldung für die Option angezeigt. Die vollständige Liste der Optionen und ihrer Hilfemeldungen finden Sie in Anhang A.

thanos-ransomware-builder-3-1.png Abbildung 3: Konfiguration aus Beispiel 81e81f0bbbdb831eda215033b7a7dbf2eed3812f4e58118f181a8e99e613179e. (Quelle: Aufgezeichnete Zukunft)

Der Builder ist auch für die Verwaltung der Verschleierung der endgültigen Binärdateien verantwortlich. Wenn keine Verschleierung aktiviert ist, enthalten die generierten .NET-ausführbaren Dateien Klartextzeichenfolgen, verfügen aber dennoch über zufällige Namen für Variablen, Methoden, Klassen und Namespaces. Der Builder bietet zwei Verschleierungsmethoden. Die primäre Methode besteht in der Verwendung einer geknackten Version des kommerziellen Verschleierungstools SmartAssembly , das von der Firma Redgate entwickelt wurde. Die sekundäre Methode ist eine Konfigurationsoption, die eine Inno Setup-Installationsdatei mit dem Client als eingebettete Ressourcendatei erstellt.

Ransomware-Client-Übersicht

Der Thanos-Client ist in C# geschrieben. Die generierten Clients hatten alle zufällige Zeichenfolgen für die Methodennamen, Variablennamen und Klassennamen.

Der Thanos-Client enthält 12 bis 17 Klassen, abhängig von den während der Erstellungsphase gewählten Optionen und Einstellungen. Einige der Klassen, wie etwa Program und Crypto, sind in jedem Build enthalten. Andere, wie etwa NetworkSpreading und Wake on LAN, sind nur dann in der endgültigen Binärdatei enthalten, wenn die entsprechende Option ausgewählt ist. Die folgende Tabelle enthält die Kernklassen und unsere Beschreibung ihres beabsichtigten Zwecks.

Klassenname Beschreibung
AMSI Versuche, die Windows Antimalware Scan Interface (AMSI) zu umgehen
AntiKill Deaktiviert die Verwendung des Task-Managers und schützt Prozesse vor dem Beenden
Anti_Analyse Prüft auf die Verwendung eines Debuggers, die Ausführung in Sandboxie, die Verwendung einer virtuellen Maschine, die Ausführung von Windows XP oder einer kleinen Festplatte
Krypto Erstellt eine zufällig generierte Zeichenfolge und kodiert sie anschließend in Base64.
Kryptographie-Helfer Enthält Hilfsfunktionen zur Verschlüsselung. Enthält außerdem den öffentlichen Schlüssel, der zum Dekodieren des AES-Verschlüsselungs-/Entschlüsselungsschlüssels verwendet wird
Deaktivieren Deaktiviert Windows Defender
Leer Leert den Papierkorb
Verschlüsselungen Hauptfunktion, die die Ver-/Entschlüsselung der Dateien durchführt
FTP Lädt Daten auf den FTP-Server hoch
Töten Beendet die Antiviren-Engines von AVG oder MalwareBytes, wenn sie ausgeführt werden
Gesperrte Dateien Versuche, gesperrte Dateien vor der Verschlüsselung freizugeben
Mutex-Helfer Erstellt Mutex
NativeMethoden Methoden für den Ruhezustand und den Ausführungszustand
Netzwerkverbreitung Verwendung von SharpExec_x64.exe oder SharpExec_x86.exe zum Installieren von Clients auf anderen Computern
Prozesskritisch Legt den Thanos-Prozess als „kritischen Prozess“ fest und stellt sicher, dass das System neu gestartet wird, wenn der Prozess beendet wird.
Programm Die Hauptfunktion des Thanos-Clients
Hintergrund Wenn diese Option aktiviert ist, wird ein benutzerdefinierter Desktop-Hintergrund als primärer Desktop-Hintergrund festgelegt.

Insikt hat im Abschnitt „Analyse der Thanos-Client-Funktionen“ zusätzliche Analysen zu einigen der interessanteren Klassen bereitgestellt.

Ausführungsablauf des Thanos-Clients

Der allgemeine Ausführungspfad von Thanos umfasst drei Hauptaktivitäten, die unten gezeigt und in Abbildung 4 dargestellt sind.

  1. Erweiterte Optionen: Führt Aktionen im Zusammenhang mit den Konfigurationseinstellungen aus
  2. Beendigung und Wiederherstellung verhindern: Stoppt Dienste und Prozesse, die die Ausführung verhindern, und löscht Sicherungsdateien und Schattenkopien.
  3. Verschlüsseln und Hochladen: Dateien verschlüsseln und auf FTP hochladen, wenn dies zum Zeitpunkt der Erstellung konfiguriert wurde, und die Lösegeldforderung anzeigen

thanos-ransomware-builder-4-1.png Abbildung 4: Während der Ausführung eines Thanos-Clients erstellte Prozesse. (Quelle: Aufgezeichnete Zukunft)

Erweiterte Optionen

Die erste Phase besteht hauptsächlich aus der Ausführung der während des Builds festgelegten erweiterten Optionen. Hierzu gehören Aktionen wie Kill Defender, Anti-VM und AMSI Bypass. Innerhalb des Clients selbst können die Konfigurationseinstellungen durch eine Liste von Variablen und Zeichenfolgenarrays am Ende der Programmklasse bestimmt werden. Abbildung 5 zeigt, wie die Konfigurationseinstellungen innerhalb des Clients auf „Ja“ oder „Nein“ gesetzt werden.

thanos-ransomware-builder-5-1.png Abbildung 5: Konfigurationsoptionen als Klassenvariablen im Thanos-Client. (Quelle: Aufgezeichnete Zukunft)

Kündigung und Wiederherstellung verhindern

Nachdem der Client die Konfigurationsaktionen ausgeführt hat, führt er als Nächstes eine Reihe von Aufgaben aus, um einen erfolgreichen Betrieb sicherzustellen und Backups und Schattenkopien zu löschen. Diese Tasks verursachen mehrere Kindprozesse, jeder mit unterschiedlichen Argumenten für net.exe, taskkill.exe, del.exe und vssadmin.exe. Anhang B behandelt diese Maßnahmen ausführlicher.

Verschlüsseln und Hochladen

Schließlich durchsucht der Thanos-Client die angeschlossenen Speicherlaufwerke und versucht, Dateien mit den im Builder konfigurierten Dateierweiterungen zu finden und zu verschlüsseln (die Standarderweiterungen finden Sie in Anhang C). Wenn die Option zum Hochladen von Dateien auf einen FTP-Server aktiviert ist (im Builder „Datastealer“ genannt), werden Dateien mit Erweiterungen, die mit einer zum Build-Zeitpunkt konfigurierten Liste übereinstimmen, vor der Verschlüsselung hochgeladen. Die Standarderweiterungen zum Hochladen sind „.docx“, „.pdf“, „.xlsx“ und „.csv“. Die Erweiterungen verschlüsselter Dateien werden in einen beim Build-Typ festgelegten Wert geändert, mit dem Standardwert „.crypted“.

Nach der Verschlüsselung der Dateien wird die Lösegeldforderung (siehe Abbildung 6) auf dem Desktop sowie in allen Ordnern gespeichert, in denen Dateien verschlüsselt wurden. Der standardmäßige Lösegelddateiname lautet „HELP_ME_RECOVER_MY_FILES.txt.“ Der Thanos-Client hat außerdem die Möglichkeit, das Hintergrundbild in ein Bild zu ändern, das von einem vom Bedrohungsakteur festgelegten HTTP-Server heruntergeladen wird.

thanos-ransomware-builder-6-1.png Abbildung 6: Standard-Lösegeldforderung. (Quelle: Aufgezeichnete Zukunft)

Der Thanos-Client kann so konfiguriert werden, dass er ein Protokoll des abgeschlossenen Verschlüsselungsprozesses erstellt und dieses Protokoll auf den FTP-Server eines Bedrohungsakteurs hochlädt. Abgesehen von der FTP-Funktionalität und der Möglichkeit, ein Hintergrundbild von einem Webserver herunterzuladen, verfügt der Thanos-Client über keine integrierte Funktionalität für die Command-and-Control-Kommunikation (C2).

Wenn dies konfiguriert ist, löscht sich der Thanos-Client nach Abschluss aller vorherigen Schritte selbst.

Analyse der Thanos-Clientfunktionen

Um die Fähigkeiten der Thanos-Ransomware zu verstehen, hat Recorded Future über 80 Clients mit unterschiedlichen aktivierten Konfigurationsoptionen generiert. In diesem Abschnitt werden sechs der Hauptmerkmale der Ransomware hervorgehoben.

Verschlüsselungsprozess

Der Thanos-Client verwendet AES-256 im CBC-Modus, um Benutzerdateien zu verschlüsseln. Der für die AES-Verschlüsselung verwendete Schlüssel wird mithilfe des Windows- Funktionsaufrufs rfc2898DeriveBytes aus einem Kennwort und einem Salt abgeleitet. Nachdem der Client diesen Schlüssel zum Verschlüsseln aller gefundenen Dateien verwendet hat, verschlüsselt er das verwendete AES-Passwort mithilfe eines eingebetteten öffentlichen 2048-RSA-Schlüssels. Die Base64-Zeichenfolge dieses verschlüsselten Passworts wird der Lösegeldforderung hinzugefügt und weist das Opfer an, die verschlüsselte Passwortzeichenfolge an die Bedrohungsakteure zu senden, um ihre Dateien zu entschlüsseln. Zum Entschlüsseln des AES-Passworts wird der private Schlüssel zusammen mit dem öffentlichen Schlüssel benötigt, der zum Verschlüsseln des Passworts verwendet wurde. Nur der Betreiber, der den Thanos-Client erstellt hat, sollte Zugriff auf den privaten Schlüssel haben.

Dieses Kennwort ist entweder statisch in der Binärdatei enthalten oder wird zur Laufzeit dynamisch erstellt. Die Auswahl wird durch eine Builder-Option zur Verwendung eines statischen Passworts bestimmt. Der Hilfetext zu dieser Option lautet: „Alle Computer im selben Netzwerk werden mit demselben Verschlüsselungskennwort verschlüsselt.“ Wenn ein dynamischer Schlüssel gewählt wird, generiert der Thanos-Client vor dem Starten des Verschlüsselungsprozesses mithilfe des Windows RNGCryptoServiceProvider eine zufällige 32-Byte-Base64-Zeichenfolge, die als AES-Kennwort verwendet wird. Wenn der Thanos-Client für die Verwendung eines statischen Kennworts konfiguriert ist, wird das Kennwort in der Binärdatei selbst gespeichert. Dies bedeutet, dass, wenn ein Thanos-Client nach der Verschlüsselung wiederhergestellt wird, die Chance besteht, dass die Opfer ihre Dateien wiederherstellen können, ohne das Lösegeld zu zahlen.

Der Thanos-Client unterstützt auch einen „schnellen“ Verschlüsselungsmodus, bei dem nur ein Teil jeder Datei verschlüsselt wird. Die Größe des verschlüsselten Teils wird zur Build-Zeit festgelegt. Wenn dieser Modus aktiviert ist, verschlüsselt der Client eine konfigurierte Datenmenge aus der Datei, überschreibt die Datei mit dem verschlüsselten Inhalt ab dem Anfang des letzten und stellt eine Zeichenfolge im Format „Thanos--“. Der dafür verantwortliche Code ist in Abbildung 7 zu sehen.

thanos-ransomware-builder-7-2.png Abbildung 7: Thanos-String in der Funktion zur teilweisen Verschlüsselung im „Schnell“-Modus enthalten. (Quelle: Aufgezeichnete Zukunft)

RIPlace

Eine der Funktionen auf der „Unternehmensebene“ ist die Möglichkeit, den Verschlüsselungsprozess des Thanos-Clients so zu ändern, dass die RIPlace-Technik verwendet wird. Wie bereits erwähnt, handelt es sich bei RIPlace um eine im November 2019 vom Sicherheitsunternehmen Nyotron veröffentlichte Technik, mit der bestimmte Anti-Ransomware-Maßnahmen umgangen werden können.

Einen detaillierten Einblick in die Technik finden Sie auf der Website von Nyotron. Auf einer hohen Ebene beschreibt die Technik einen Prozess zum Verschlüsseln einer Zieldatei durch Nutzung symbolischer Links über einen MS-DOS-Gerätenamen, um eine verschlüsselte Version der Datei an den ursprünglichen Dateispeicherort zu kopieren.

Wenn diese Option im Thanos-Builder aktiviert ist, verfügen generierte Clients über eine zusätzliche Klasse und eine Modifikation des Verschlüsselungs-Workflows, um die RIPlace-Technik zu verwenden.

thanos-ransomware-builder-8-1.png Abbildung 8: Eintragsfunktion der RIPlace-Klasse. (Quelle: Aufgezeichnete Zukunft)

Der geänderte Arbeitsablauf ist relativ unkompliziert. Die für den RIPlace-Workflow verantwortliche Funktion ist in Abbildung 8 zu sehen. Zunächst kopiert der Thanos-Client den Inhalt der Zieldatei in ein temporäres Verzeichnis, verschlüsselt den Inhalt der Datei und speichert den verschlüsselten Dateiinhalt in der Datei im temporären Verzeichnis. Anschließend führt der Client den in Abbildung 9 dargestellten Code aus, wobei ein MS-DOS-Gerätename mit dem Pfad zur Zieldatei und dem Gerätenamen „Resolve“ erstellt wird. MoveFileExW wird aufgerufen, um die verschlüsselte Datei im temporären Verzeichnis auf das neue MS-DOS-Gerät zu verschieben, das als symbolischer Zeiger auf den Zieldateipfad fungiert. Das Endergebnis ist, dass die Zieldatei mit der verschlüsselten Kopie der Datei überschrieben wird.

thanos-ransomware-builder-9-1.png Abbildung 9: Funktion, die die RIPlace-Technik ausführt. (Quelle: Aufgezeichnete Zukunft)

Seitliche Bewegung

Die Lateral-Movement-Funktion des Thanos-Clients wird hauptsächlich durch die Verwendung des SharpExec-Tools gesteuert, einem offensiven Sicherheitstool, das speziell für die Lateral Movement-Funktion entwickelt wurde. Der Client lädt die SharpExec-Tools aus seinem GitHub-Repository herunter (die Download-URLs finden Sie im Abschnitt „Erkennung und Schadensbegrenzung“).

Zuerst scannt der Thanos-Client das lokale Netzwerk, um eine Liste der Online-Hosts zu erhalten. Dann verwendet Thanos die PSEXEC-ähnliche Funktionalität von SharpExec, die es ermöglicht, den Thanos-Client auf Remotecomputern auszuführen.

thanos-ransomware-builder-10-2.png Abbildung 10: Netzwerk-Spreading-Funktion mit SharpExec. (Quelle: Aufgezeichnete Zukunft)

Wake on LAN (WoL)

Um sich seitlich über das lokale Netzwerk eines Opfers zu verbreiten, nutzt Thanos eine Hardwarefunktion einiger Computer namens „Wake on LAN“ (WoL), die dazu führt, dass sich der Host einschaltet. Dies geschieht durch das Senden eines WoL-„Magic Packet“ im in Anhang D beschriebenen Format.

Um dies zu erreichen, verwendet der Client zunächst das Address Resolution Protocol (ARP), um eine Zuordnung von IP-Adressen und Media Access Control (MAC)-Adressen zu erstellen. Diese Informationen sind in einer ARP-Tabelle enthalten.

Mit den IP-Adressen und MAC-Adressen kann der Client das „Magic Packet“ erstellen und an die Remote-Hosts senden. Der Thanos-Client versucht dann, mit dem Benutzernamen „Administrator“ oder „Admin“ eine Verbindung zum Laufwerk des Remote-Hosts herzustellen. Wenn die Verbindung erfolgreich ist, wird das Remote-Laufwerk zur Liste der zu verschlüsselnden Laufwerke hinzugefügt.

thanos-ransomware-builder-11-2.png Abbildung 11: Wake-on-LAN-Funktionen. (Quelle: Aufgezeichnete Zukunft)

Die WoL-Funktionalität ähnelt der in Ryuk beobachteten WoL-Implementierung.

Datendiebstahl

Der Thanos-Client folgt einem gängigen Trend bei Ransomware-Operationen, bei dem die Opfer mit der öffentlichen Verbreitung vertraulicher Dateien erpresst werden. Daher verfügt er über die Möglichkeit, alle Dateien mit einem festgelegten Satz von Erweiterungen zu exfiltrieren. Die Standarderweiterungen zum Hochladen sind „.docx“, „.pdf“, „.xlsx“ und „.csv“, diese können jedoch zur Build-Zeit geändert werden. Die Exfiltration erfolgt über einen FTP-Webclient. Die Standardparameter für die FTP-URL, den Benutzernamen und das Kennwort sind alle in den Endclients sichtbar, selbst nach einigen Verschleierungsvorgängen. Der Code, der dies verwaltet, ist in Abbildung 12 zu sehen.

thanos-ransomware-builder-12-1.png Abbildung 12: FTP-Diebstahlfunktion. (Quelle: Aufgezeichnete Zukunft)

Ausblick

Recorded Future veröffentlichte im Februar 2020 einen Bericht, in dem eine Reihe von Ransomware-Trends für das Jahr vorhergesagt wurden, darunter:

  • Der Ransomware-as-a-Service-Markt wird weiter florieren
  • Es wird weiterhin eine Trennung zwischen den „Besitzenden“ und den „Nichtbesitzenden“ von Ransomware geben.

Wir glauben, dass diese Vorhersagen repräsentativ für den weiteren Weg von Thanos sind. Das RaaS-Modell war für andere Betreiber äußerst erfolgreich, da es die schnellste Möglichkeit darstellte, ihre Operationen an Bedrohungsakteure auszulagern. Die Insikt Group hat beobachtet, dass Nosophoros den ursprünglichen Beitrag im Exploit Forum mit „Thanos Ransomware Affiliate Program“ betitelt hat. Wie bereits erwähnt, können diejenigen, die eine „Light“-Version von Thanos kaufen oder erwerben möchten, am Partnerprogramm teilnehmen, obwohl die Voraussetzungen für die Partnermitgliedschaft nicht bekannt sind. Andere können sich jedoch für den Erwerb der vollständigen „Firmen“-Version von Thanos entscheiden und haben die Möglichkeit, ihr eigenes Partner- oder RaaS-Unternehmen zu gründen. Zum Zeitpunkt der Veröffentlichung stellte die Insikt Group fest, dass Nosophoros von der Community positive Resonanz erhalten hat. Es wurde behauptet, das Tool „funktioniere einwandfrei“, und es wurde darum gebeten, „weiterhin Updates bereitzustellen“. Thanos wird von Nosophoros aktiv entwickelt. Recorded Future geht davon aus, dass es sehr wahrscheinlich ist, dass Bedrohungsakteure Thanos im Rahmen des Partnerprogramms weiterhin einzeln oder gemeinsam als Waffe einsetzen werden.

Und schließlich ist durch die Identifizierung der Hakbit-Samples als zur Thanos-Ransomware-Familie gehörend klar, dass Thanos in den vergangenen sechs Monaten kontinuierlich eingesetzt wurde. Wie bereits erwähnt, wurden in jede neu beobachtete Probe im Laufe der Zeit zusätzliche Funktionen integriert. Dies legt die Vermutung nahe, dass Nosophoros die Ransomware aktiv weiterentwickelt – ein Trend, der voraussichtlich nicht so schnell enden wird.

Anmerkung der Redaktion: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Verwandt