De Lazarus-groep onderscheidde zich altijd al door het gebruik van methodes die vooral bij APT-aanvallen worden gebruikt, terwijl ze zich juist in financiële cybermisdaad specialiseren. Onlangs detecteerden onze experts een nieuwe, volledig onontdekte soort VHD-malware waar Lazarus mee lijkt te experimenteren.
VHD is qua functionaliteit een redelijke gewone ransomware-tool. Het glipt zich een weg naar binnen via de drives die verbonden zijn met de computer van het slachtoffer, versleutelt bestanden en verwijdert alle Systeemvolume-informatie-mappen (en saboteert zo dus de Systeemherstel-pogingen in Windows). Bovendien kan het processen die potentieel belangrijke bestanden tegen wijzigingen beschermen stopzetten (zoals Microsoft Exchange of SQL Server).
Maar het interessante is hoe VHD op de computers terecht komt, want de verspreidingsmechanismes hebben meer gemeen met APT-aanvallen. Onze experts onderzochten onlangs een aantal VHD-incidenten en analyseerden hierbij de aanpak van de aanvallers.
Zijdelingse beweging via het netwerk van het slachtoffer
In het eerste incident werd de aandacht van onze experts getrokken door de schadelijke code die verantwoordelijk was voor het verspreiden van VHD over het netwerk. Het bleek dat de ransomware lijsten van IP-adressen op de computers van slachtoffers tot zijn beschikking had, evenals inloggegevens voor accounts met beheerdersrechten. Die gegevens werden gebruikt voor brute force-aanvallen op de SMB-service. Als de malware erin slaagde om met gebruik van het SMB-protocol verbinding te maken met de netwerkmap van een andere computer, kopieerde de malware zichzelf en werd deze uitgevoerd, waardoor ook dat apparaat versleuteld werd.
Dit soort gedrag is niet erg kenmerkend voor massa-ransomware. Het duidt erop dat er op zijn minst sprake is van een eerste verkenning van de infrastructuur van het slachtoffer, wat eerder een kenmerk is van APT-campagnes.
Infectieketen
De volgende keer dat ons Global Emergency Response Team deze ransomware tijdens een onderzoek vond, konden de onderzoekers de volledige infectieketen traceren. Volgens hun rapport gingen de cybercriminelen als volgt te werk:
- Ze verkregen toegang tot de systemen van de slachtoffers door een kwetsbare VPN-gateway te benutten;
- Ze verkregen de beheerdersrechten op de geïnfecteerde machines;
- Ze installeerden een achterdeur;
- Ze namen de controle over de Active Directory-server over;
- Ze infecteerde alle computers op het netwerk met de VHD-ransomware met gebruik van een loader die daar speciaal voor was geschreven.
Verdere analyse van de gebruikte tools laat zien dat de backdoor deel uitmaakt van het multiplatform MATA-framework (wat door sommigen van onze collega’s Dacls wordt genoemd). Wij kwamen tot de conclusie dat dit nog een Lazarus-tool is.
U kunt een gedetailleerde technische analyse van deze tools plus de indicators of compromise vinden in onze relevante post op Securelist.
Zo beschermt u uw bedrijf
De VHD-ransomware is duidelijk bovengemiddeld als het gaat om het infecteren van bedrijfscomputers met een cryptor. De malware is niet algemeen beschikbaar op hackersfora, maar is juist speciaal ontwikkeld voor gerichte aanvallen. De gebruikte technieken penetreren de infrastructuur van het slachtoffer en de malware verspreidt zich binnen het netwerk via geavanceerde APT-aanvallen.
Deze geleidelijke vervaging van grenzen tussen financiële cybercrime-tools en APT-aanvallen is het bewijs dat zelfs kleinere bedrijven moeten overwegen om geavanceerdere beveiligingstechnieken te gebruiken. Met die kennis in het achterhoofd hebben wij onlangs een geïntegreerde oplossing met zowel Endpoint Protection Platform- (EPP) en Endpoint Detection and Response (EDR)-functionaliteit onthuld. U kunt meer informatie over deze oplossing vinden op de toegewijde pagina.