LockerGoga
Europäische Industriebetriebe weiterhin im Visier von Cyberattacken
Ransomware LockerGoga
Security-Experte Palo Alto Networks meldet aktuelle Erkenntnisse zu den aktuellen Ransomware-Angriffen, die unter dem Namen LockerGoga verfolgt werden. Angreifer nehmen dabei gezielt Industrieunternehmen in Europa ins Visier und verursachen großen Schaden. Die Ransomware wurde erstmals im Januar von Bleeping Computer gemeldet, in Verbindung mit einem Angriff auf das französische Engineering-Unternehmen Altran Technologies. Inzwischen wurden mehrere Varianten in freier Wildbahn gefunden, die kürzlich bei Angriffen gegen den norwegischen Aluminiumhersteller Norsk Hydro und die zwei Chemieunternehmen Hexicon und Momentive eingesetzt wurden.
Palo Alto Networks überprüfte Malware-Proben von diesen Angriffen und fand Beweise, um die Herkunft des Bedrohungsnamens in Frage zu stellen. „LockerGoga“ wurde aus einer Zeichenkette entnommen, die nirgendwo im Code des ursprünglichen Angriffs auf Altran existierte. Den Forschern gelang es zwar, diese Zeichenkette in früheren Ransomware-Varianten zu finden, die von Symantec als „Ransom.GoGalocker“ identifiziert wurden, aber nicht in dem Sample, das im Bericht von Bleeping Computer beschrieben wurde. Um Verwirrung zu vermeiden, wird Palo Alto Networks weiterhin den Namen LockerGoga verwenden und verweist damit auf die erste Variante und ihre Vorgänger. Die Forscher von Palo Alto Networks haben mittlerweile bereits 31 Ransomware-Samples identifiziert, die in Verhalten und Code der ersten Variante ähnlich sind.
Derzeit unterstützt LockerGoga keine wurmartigen Funktionen, die es der Malware ermöglichen würden, sich selbst zu verbreiten, indem sie zusätzliche Hosts in einem Zielnetzwerk infiziert. Palo Alto Networks hat beobachtet, wie LockerGoga sich in einem Netzwerk über das Server Message Block (SMB)-Protokoll bewegt, was zeigt, dass die Akteure Dateien einfach manuell von Computer zu Computer kopieren.
Das näher untersuchte Sample der aktuellen Angriffe benötigt Administratorrechte, um erfolgreich ausgeführt zu werden, wobei der spezifische Mechanismus für die initiale Codeausführung unbekannt ist. Sobald es ausgeführt wird, versucht es, Dateien auf dem infizierten Computer und allen angeschlossenen Festplatten zu verschlüsseln. Anschließend hinterlässt es eine Lösegeldnotiz auf dem Desktop des Benutzers, die eine E-Mail-Adresse enthält, an die er sich offensichtlich wenden kann, um Entschlüsselungs- und Zahlungsmodalitäten in Erfahrung zu bringen.
Das erste Sample von LockerGoga wurde in der Programmiersprache C++ geschrieben. Die Akteure griffen auf öffentlich zugängliche Bibliotheken wie Boost, Cryptopp und regex zurück. Zum jetzigen Zeitpunkt ist klar, dass die Entwickler zuletzt weiterhin Funktionen hinzugefügt haben und die Akteure neue Angriffe starteten. Das Hinzufügen von WS2_32.dll und die Verwendung von nicht-dokumentierten Windows-API-Aufrufen deutet auf ein Niveau an, das über das hinausgeht, was typische Ransomware-Autoren zu bieten haben. Ersteres könnte zu einer eventuellen Einbeziehung der C2-Kommunikation oder automatisierten Verbreitung führen, und letzteres erfordert detailliertere Grundkenntnisse zum Innenleben von Windows. Derzeit ist nicht bekannt, ob eines der Opferunternehmen das Lösegeld bezahlt hat und seine Daten erfolgreich entschlüsseln konnte. Bekannt ist jedoch, dass diese Ransomware bereits erhebliche Schäden verursacht hat. Der Schaden könnte deutlich zunehmen, wenn die Angreifer ihre Ransomware weiter verfeinern.
Palo Alto Networks hat seine Ergebnisse, einschließlich Dateiproben und Kompromittierungsindikatoren, an die Partner der Cyber Threat Alliance weitergegeben. CTA-Mitglieder nutzen diese Informationen, um ihren Kunden schnell Schutzmaßnahmen anzubieten und böswillige Cyberakteure systematisch außer Gefecht zu setzen.
