Trellix berichtet über aufkommende Cyberkriminelle Bande "Read The Manual" Locker

Trellix, ein Cybersicherheitsunternehmen, hat detaillierte Informationen über den Modus Operandi einer neuen cyberkriminellen Bande namens "Read The Manual" Locker bereitgestellt. Die Gruppe bietet Ransomware-as-a-Service (RaaS) für ein Netzwerk von Partnern an, die sich an strenge, von der Bande auferlegte Regeln halten müssen. Ihre Taktiken, Techniken und Verfahren wurden in dem Bericht erläutert.

Die Bande will nicht auffallen und keine Schlagzeilen machen, sondern konzentriert sich darauf, Geld zu verdienen und dabei anonym zu bleiben. Sie veröffentlichen ihre Meldungen sowohl auf Englisch als auch auf Russisch, wobei letztere von höherer Qualität sind. Die Region der Gemeinschaft Unabhängiger Staaten in Osteuropa und Asien (GUS) ist für sie tabu, um zu vermeiden, dass sie in diesem Gebiet Opfer verursachen.

Aus dem Bericht geht hervor, dass das Panel der Gruppe einen Einblick in ihre Regeln, Ziele und ihren Modus Operandi bietet. Auf der Grundlage der verfügbaren Informationen konnten die Forscher einige Vermutungen über die geografischen Standorte einiger der Mitglieder anstellen.

Der Zugriff auf das Panel der Bande erfolgt über eine Kombination aus Benutzernamen und Passwort sowie einen Captcha-Code, um Brute-Force-Anmeldeversuche durch andere Akteure und Forscher zu verhindern. Die Mitglieder können erpresste Opfer hinzufügen, wodurch die Methoden der Gruppe dem derzeitigen Standardverhalten von Ransomware-Gangs entsprechen.

In der Lösegeldforderung werden die Opfer darüber informiert, dass ihr Netzwerk mit der RTM Locker Ransomware infiziert wurde und dass ihre Dateien, einschließlich persönlicher Dokumente, Fotos, Kunden- und Mitarbeiterdaten sowie Datenbanken, verschlüsselt wurden und nicht mehr zugänglich sind. In der Mitteilung wird davor gewarnt, dass, wenn die Opfer sich nicht innerhalb von 48 Stunden mit dem Support-Team in Verbindung setzen, ihre Daten veröffentlicht werden und die kompromittierten Daten an ihre Konkurrenten und Regulierungsbehörden gesendet werden. In der Mitteilung wird den Opfern geraten, nicht zu versuchen, die Dateien selbst wiederherzustellen oder verschlüsselte Dateien zu ändern, da dies zu einem dauerhaften Datenverlust führen kann.

Die Ransomware nutzt keinen Exploit, um Administratorrechte zu erhalten, sondern startet sich einfach selbst mit den erforderlichen Berechtigungen, was zu einem Dialogfeld der Benutzerkontensteuerung führt. Wenn das Opfer der Ausführung zustimmt, wird eine neue Prozessinstanz mit den erforderlichen Administratorrechten eingerichtet und die vorhandene Schließfachinstanz beendet. Lehnt das Opfer die Aufforderung ab, fragt das Schließfach so lange nach, bis die Berechtigungen erteilt werden.

Um das Zielsystem noch effektiver lahmzulegen, verschlüsselt der RTM Locker so viele Daten wie möglich und prüft, ob er über Administratorrechte auf der eingebauten Systemdomäne verfügt, um zu gewährleisten, dass die entsprechenden Berechtigungen erlangt werden, was einen unkontrollierten Zugriff auf das Gerät ermöglicht.

Der RTM Locker hat keine Symbole, aber die umbenannten Funktionen und Variablen innerhalb der Analyse werden in der gesamten Analyse bereitgestellt. Die Hauptfunktion des Lockers prüft die Befehlszeileneingaben und setzt die Konsolenausgabe auf "-debug", so dass der Locker Debug-Informationen ausgeben kann. Der nächste Screenshot zeigt die Überprüfung der Befehlszeilenparameter und den Aufruf der Funktion, die die Konsolenausgabe festlegt.

Der nächste Schritt des Lockers besteht darin, die größtmögliche Wirkung zu gewährleisten, indem er Programme beendet, die entweder eine Datei blockieren können oder für die Analyse bösartiger Dateien eingesetzt werden. Dazu gehören sql.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, encsvc.exe, firefox.exe, tbirdconfig.exe, mydesktopqos.exe, ocomm.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe, und notepad.exe.

Er stoppt dann alle Dienste, die in einer eingebetteten Liste enthalten sind. Die anvisierten Dienste sind für den Virenschutz und Backups zuständig und umfassen vss, sql, svc$, memtas, mepocs, sophos, veeam, backup, GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, RTVscan, QBFCService, QBIDPService, Intuit.QuickBooks.FCS, QBCFMonitorService, YooBackup, YooIT, zhudongfangyu, stc_raw_agent, VSNAPVSS, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, PDVFSService, BackupExecVSSProvider, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, ArcSch2Svc, AcronisAgent, CASAD2DWebSvc, und CAARCUpdateSvc.

Die Ransomware ist derzeit nicht verschleiert, so dass sie leichter zu identifizieren und abzuschwächen ist. Ihre Fähigkeit, ausgewählte Prozesse und Dienste zu beenden, kann jedoch erheblichen Schaden auf dem Zielsystem anrichten.

Zu den Quellen für diesen Beitrag gehört ein Artikel in SecurityAffairs.

Zusammenfassung

Artikel Name

Trellix deckt Cyberkriminelle Bande "Read The Manual" Locker auf

Beschreibung

Trellix hat detaillierte Informationen über den Modus Operandi einer neuen cyberkriminellen Bande namens "Read The Manual" Locker zur Verfügung gestellt.

Autor

Obanla Opeyemi

Name des Herausgebers

TuxCare

Logo des Herausgebers