PonyFinal wordt ingezet bij door mensen bediende ransomware-aanvallen, waarbij tegenstanders hun technieken afstemmen op basis van kennis van een doelsysteem.
Microsoft heeft vandaag dreigingsgegevens gedeeld die zijn verzameld op PonyFinal, een op Java gebaseerde ransomware die wordt ingezet in door mensen bediende ransomwarecampagnes. Bij dit soort aanvallen doen tegenstanders hun huiswerk en kiezen ze een strategie en payload op basis van de omgeving van de doelorganisatie.
Door mensen bediende ransomware is niet nieuw, maar wordt steeds populairder omdat aanvallers het losgeld van individuele slachtoffers proberen te maximaliseren. Andere bekende door mensen bediende ransomwarecampagnes zijn Bitpaymer, Ryuk, REvil en Samas. Microsoft begon PonyFinal begin april te zien, zegt Phillip Misner, onderzoeksdirecteur bij Microsoft Threat Protection.
“Dit zijn allemaal varianten van dezelfde soort ernstige dreiging waarmee klanten momenteel worden geconfronteerd”, legt hij uit. Aanvallers maken gebruik van diefstal van inloggegevens en zijwaartse beweging om meer over het bedrijf te weten te komen. “Uiteindelijk, nadat ze de omgeving hebben doorgenomen en begrepen, zullen ze ransomware naar keuze van de aanvaller inzetten die het beste aansluit bij de omgeving die ze in de loop van de tijd hebben waargenomen.”
PonyFinal-aanvallen beginnen meestal op twee manieren. Er is gezien dat aanvallers toegang verkrijgen via brute-force-aanvallen op de systeembeheerserver van een doelwit, schreef Microsoft Security Intelligence in een reeks tweets. Ze implementeren een VBScript om een PowerShell reverse shell uit te voeren om datadumps uit te voeren, en ook een extern manipulatorsysteem om het loggen van gebeurtenissen te omzeilen. Aanvallers hebben ook misbruik gemaakt van niet-gepatchte fouten of hebben zich gericht op kwetsbare, op het internet gerichte diensten.
In sommige gevallen zetten aanvallers Java Runtime Environment (JRE) in, die de op Java gebaseerde ransomware moet uitvoeren. Deskundigen zeggen echter dat er aanwijzingen zijn dat de aanvallers gegevens gebruiken die zijn gestolen van de systeembeheerserver om zich te richten op eindpunten waarop JRE is geïnstalleerd. Dit soort aanvallers zijn voorzichtig in hun activiteiten, zegt Misner, en proberen detectie waar mogelijk te vermijden. Als JRE al op een machine staat, kunnen ze werken zonder waarschuwingen te genereren.
“Vaak hadden de mensen die de PonyFinal-ransomware zien, al Java in hun omgeving, en dus gebruiken aanvallers dat om zo onopvallend mogelijk te blijven”, legt hij uit.
De ransomware wordt geleverd via een MSI-bestand dat twee batchbestanden en de ransomware-payload bevat. Uit onderzoek van Microsoft blijkt dat PonyFinal bestanden op een specifieke datum en tijd versleutelt. Gecodeerde bestanden hebben de bestandsextensie .enc en de losgeldbrief is een eenvoudig tekstbestand, zeggen ze.
PonyFinal wordt ingezet aan het einde van langdurige, door mensen uitgevoerde campagnes, waarbij de aanvallers doorgaans inactief zijn en wachten op het meest geschikte moment om toe te slaan. In de PonyFinal-campagnes van april varieerde de periode tussen het aanvankelijke compromis en het losgeld van meerdere maanden tot een week, merkt Misner op.
De operators achter PonyFinal zijn niet nieuw, vervolgt hij. Dit is toevallig de nieuwste lading die onderzoekers hebben gezien in dit soort ransomwarecampagnes. Door mensen bediende ransomware is vaak gekoppeld aan meerdere criminele groepen en is zelden exclusief voor één enkele groep aanvallers. Mogelijk zijn er meerdere aanvalsgroepen die dezelfde vorm van ransomware gebruiken, voegt Misner toe.
Dat gezegd hebbende, is dit waarschijnlijk het werk van een geavanceerde groep. “Net als al deze door mensen bediende ransomwarecampagnes is dit een stuk beter dan je normale criminele organisatie”, zegt Misner. Dit zijn aanvallers met de mogelijkheid om meerdere payloads te kiezen en die hun tijd besteden aan onderzoek om te zien hoe ze het meeste geld kunnen halen uit de compromissen die ze maken.
Deze ransomware-exploitanten maken geen onderscheid bij het beslissen wie ze moeten aanvallen. “Deze aanvallers zijn op zoek naar kansen”, legt hij uit. Hoewel er geen sprake is van COVID-19-aantrekkingskracht in deze campagnes, hebben onderzoekers gemerkt dat PonyFinal-operators gaan waar ze zouden kunnen zijn meest effectief bij het verkrijgen van losgeld te midden van de chaos van de coronaviruspandemie.
Een bedreiging om naar te kijken
Door mensen bediende ransomware is niet zoals de typische geautomatiseerde malware, waarbij de aanvaller probeert iemand zover te krijgen dat hij op een uitvoerbaar bestand klikt. Deze campagnes gebruiken actieve middelen om hun initiële toegangsvector te vinden, of het nu gaat om externe desktopverbindingen of onveilige internetgerichte services. Deze menselijke component vereist dat potentiële slachtoffers onmiddellijk actie ondernemen.
“Er is een mens aan de andere kant… die doorneemt en bepaalt welke ransomware daadwerkelijk op het netwerk wordt ingezet”, legt Misner uit. “De onmiddellijkheid van het hebben van een tegenstander die in feite een-op-een een klant aanvalt, is wat hier de zorg en het risico zou moeten drijven.” Hij gelooft dat we een toename zullen zien in dit soort aanvallen.
Ter bescherming tegen door mensen bediende ransomware, Microsoft adviseert het versterken van internetgerichte middelen en ervoor zorgen dat ze over de nieuwste beveiligingsupdates beschikken. Bedreigings- en kwetsbaarheidsbeheer moet worden gebruikt om activa te controleren op kwetsbaarheden en verkeerde configuraties. Deskundigen raden aan om het principe van de minste privileges te hanteren en het gebruik van domeinbrede serviceaccounts op beheerdersniveau te vermijden.
Bedrijven moeten controleren op brute force-pogingen en controleren op overmatig mislukte authenticatiepogingen. Ze moeten ook letten op het wissen van gebeurtenislogboeken, met name het beveiligingsgebeurtenislogboek en de operationele logboeken van PowerShell.
Gerelateerde inhoud:
Kelly Sheridan is de stafredacteur bij Dark Reading, waar ze zich richt op nieuws en analyse op het gebied van cyberbeveiliging. Ze is een bedrijfstechnologiejournalist die eerder verslag deed van InformationWeek, waar ze verslag deed van Microsoft, en Insurance & Technology, waar ze financiële ... Bekijk volledige bio
Aanbevolen literatuur:
Meer inzichten
