Main menu

Pages

Quantum Locker landet in CloudSecurity Affairs

Meta description

Die Bande hinter Quantum Locker wandte eine bestimmte Vorgehensweise an, um große Unternehmen ins Visier zu nehmen, die sich auf Cloud-Dienste in der NACE-Region verlassen.

Zusammenfassung

  • Die Quantum Locker-Bande hat ihre Fähigkeiten unter Beweis gestellt, Ransomware-Erpressung sogar in Cloud-Umgebungen wie Microsoft Azure auszunutzen.
  • Kriminelle Quantenbanden haben die Fähigkeit unter Beweis gestellt, sekundäre Sicherungskopien zu finden und zu löschen, die in Cloud-Buckets und Blobs gespeichert sind.
  • Die Quantum Locker-Bande zielt auf IT-Administrationspersonal ab, um sensible Netzwerkinformationen und Zugangsdaten zu sammeln.
  • Während ihres Eindringens stehlen Quantum-Betreiber den Zugriff auf Cloud-Dateispeicherdienste des Unternehmens wie Dropbox, um vertrauliche Anmeldeinformationen zu sammeln.
  • Übernahmen von Cloud-Root-Konten wurden im 4. Quartal 2022 während des Eindringens von Quantum-Banden in Nordeuropa beobachtet.

Vorfallinformationen

In den vergangenen Wochen hat das belgische Unternehmen Computerland der europäischen Threat-Intelligence-Community Informationen über Quanten-TTPs mitgeteilt, die bei jüngsten Angriffen verwendet wurden. Informationen, die geteilt wurden, zeigten, dass die Quantum-Bande eine bestimmte Vorgehensweise benutzte, um große Unternehmen ins Visier zu nehmen, die sich auf Cloud-Dienste in der NACE-Region verlassen.

Durchgesickerte technische Details der jüngsten Eindringlinge bestätigen die Fähigkeit der Quantum Locker-Bande, Sabotage- und Ransomware-Angriffe selbst gegen Unternehmen durchzuführen, die stark auf Cloud-Umgebungen angewiesen sind.

Zu den TTPs, die bei einem kürzlichen Angriff eingesetzt wurden, gehört beispielsweise die Übernahme der vollständigen Kontrolle über die Cloud-Dienste von Microsoft durch Kompromittierung des Root-Kontos (T1531). Eine solche Aktion ist für das betroffene Unternehmen besonders schmerzhaft: Alle Microsoft-Dienste und Benutzer, einschließlich Mail-Dienste und normale Benutzer, würden unbrauchbar bleiben, bis der Anbieter antwortet, was je nach Prozess sogar Tage dauern kann.

Darüber hinaus berichteten Angriffsinformationen aus dem vierten Quartal 2022, dass Quantum Locker-Betreiber in der Lage sind, alle betroffenen Microsoft Azure Blob-Speicher zu lokalisieren und zu löschen, um eine sekundäre Backup-Vernichtung und Datenlöschung zu erreichen (T1485). Auch wenn Cloud-Dienste theoretisch Unterstützung bei der Wiederherstellung alter Blobs und Buckets bieten könnten, dauert die Wiederherstellung „endgültig gelöschter“ Daten oft Tage und ist aufgrund interner technischer Einschränkungen des Anbieters möglicherweise nicht einmal verfügbar.

Die ersten bevorzugten Ziele der Quantum-Betreiber bei ihren jüngsten Operationen in Nordeuropa waren IT-Administratoren und Netzwerkpersonal. Durch den Zugriff auf ihre persönlichen Ressourcen und freigegebenen Dropbox-Ordner konnten die Angreifer vertrauliche administrative Anmeldeinformationen sammeln, um den Angriff auf die Cloud-Oberfläche auszudehnen (T1530).

Vorfallinformationen des belgischen Unternehmens bestätigen auch, dass Quantum diese neuen Techniken sogar mit traditionelleren Ransomware-Bereitstellungstechniken kombiniert, wie beispielsweise die Änderung von Domänengruppenrichtlinien (T1484.001), um Ransomware auf Computer zu verteilen, sowohl auf lokale Windows- als auch auf Benutzer-Laptops Missbrauch legitimer Any Desk-Software als Fernzugriffstool (T1219).

Darüber hinaus haben Quantum-Betreiber bei jüngsten Angriffen die Konfiguration von Endpoint-Verteidigungstools wie Microsoft Defender (T1562.001) erheblich geändert. Tatsächlich konnten Bedrohungsakteure programmgesteuert Ad-hoc-Ausschlüsse einfügen, um das integrierte Endpoint-Schutzsystem zu blenden, ohne eine Abschaltwarnung auszulösen.

Das belgische Unternehmen berichtet auch, dass die durchschnittliche Verschlüsselungsgeschwindigkeit von Quantum Locker in einem realen Hybridszenario bei etwa 13 MB/s liegt, eine deutlich langsamere Menge als bei anderen Ransomware-Familien, die eine intermittierende Verschlüsselung verwenden, wodurch die Möglichkeiten von Windows-Respondern zum rechtzeitigen Abfangen und Eindämmen erweitert werden. .

Vorstellung des Bedrohungsakteurs

Die Ransomware Quantum Locker entstand ursprünglich aus den Hashes des Ransomware-Programms MountLocker, das 2020 von russischsprachigen Cyberkriminellen betrieben wurde. Vor seinem heutigen Namen wurde Quantum Locker mehrmals umbenannt, zuerst in den Namen AstroLocker und dann in den Alias ​​XingLocker.

Quantum Locker war auch an zahlreichen hochkarätigen Angriffen beteiligt, wie z. B. dem israelischen Sicherheitsunternehmen BeeSense, dem mutmaßlichen Angriff auf die lokale Verwaltung in der italienischen Region Sardinien und Regierungsbehörden in der Dominikanischen Republik.

Indikator für Kompromisse

  • Intrusion- und Exfiltrationsinfrastruktur
    • 146.70.87.66 M247-LOS-ANGELES US
    • 42.216.183.180 NorthStar CN
  • Vertriebsinfrastruktur:
    • hxxp://146.70.87,186/load/powerDEF
    • 146.70.87.186 M247-LOS-ANGELES

Über den Autor: Luca Mella, Experte für Cybersicherheit

Folge mir auf Twitter: @Sicherheitsfragen und Facebook und Mastodon

Pierluigi Paganini

(Sicherheitsfälle Hacking, Quantum Locker)





Blog In 2021 joker0o xyz

Commentaires