Wieviel Wahrheit steckt in Malvertising?

Splunk SURGe veröffentlichte vor kurzem ein Whitepaper, einen Blog und ein Video, in denen die Verschlüsselungsgeschwindigkeiten von 10 verschiedenen Ransomware-Familien beschrieben werden. Bei unseren Recherchen stießen wir recht bald auf eine andere Gruppe, die eine ähnliche Studie über die Verschlüsselungsgeschwindigkeit von Ransomware durchgeführt hatte. Welche Gruppe das war? Nun, es war tatsächlich eine der Ransomware-Crews selbst. LockBit veröffentlichte die Ergebnisse auf seiner Website (die hier nicht verlinkt wird, da es sich um eine dieser bösen .onion-Sites im Darknet handelt). Dahinter steckte vermutlich die Absicht, potenzielle Ransomware-Partner davon zu überzeugen, sich der LockBit-Crew anzuschließen, da sie sich als die schnellste und beste erwiesen hat. Uns wurde klar, dass wir uns nach unseren eigenen Recherchen noch einmal hinsetzen und den Wahrheitsgehalt der LockBit-Ergebnisse überprüfen müssten.

Im Folgenden berichte ich euch, wie wir dazu vorgegangen sind und was wir herausgefunden haben.

Mehr zum LockBit-Bericht

LockBit veröffentlichte seinen Bericht im Februar 2021. Die Gruppe testete die Verschlüsselungsgeschwindigkeit von 36 unterschiedlichen Ransomware-Varianten, darunter auch zwei eigene: LockBit 1.0 und LockBit 2.0. LockBit 1.0 galt bereits als eine der schnellsten, wenn nicht gar als die schnellste Ransomware-Variante überhaupt. Aber warum sollte man dann LockBit 2.0 entwickeln? Und ist LockBit 2.0 wirklich schneller?

^{Abb. 1. Screenshot von LockBits Vergleich der Ransomware-Verschlüsselungsgeschwindigkeiten}

Laut den Ergebnissen war LockBit 2.0 in der Tat schneller als LockBit 1.0, und beide waren viel schneller als alle anderen Ransomware-Varianten. Diesen Daten zufolge war LockBit 2.0 doppelt so schnell wie die nächstplatzierte Nicht-LockBit-Variante Cuba. LockBit zeigte die Ransomware-Beispiele auf seiner Website mit der folgenden Handlungsaufforderung an: „Wenn Sie irgendwelche Zweifel an dieser Tabelle haben, können Sie die bereitgestellten Informationen leicht überprüfen, indem Sie die für die Tests verwendeten Beispiele herunterladen.“

Wir wollten Lockbit 3.0 (das in diesem Blog erwähnt wird) testen, doch trotz stundenlanger Google-Suchen, Hilfeaufrufen auf Twitter und Nachrichten an geheime ️🐿️ Keybase- und Slack-Gruppen konnten wir es einfach nicht auftreiben!

Hatten wir Zweifel daran, dass LockBit schnell ist? Nein. Hatten wir Zweifel an den Gesamtergebnissen? Ja. Unsere ursprünglichen Untersuchungen ergaben, dass die Verschlüsselungsgeschwindigkeit von Babuk viel näher an der von LockBit lag, als LockBit angab. Nachdem wir diese Diskrepanz festgestellt hatten, wussten wir, dass ein umfassendes Testregime erforderlich war, um weitere eventuelle Abweichungen auszumerzen.

Die von LockBit durchgeführten Tests

Die Tabelle von LockBit war der einzige Anhaltspunkt, den wir hatten, um dieses Experiment nachzuvollziehen. LockBit lieferte folgende Details:

• Name der Ransomware
• Datum des Ransomware-Beispiels
• Verschlüsselungsgeschwindigkeit in MB/s
• Zeitdauer für die Verschlüsselung von 100 GB
• Zeitdauer für die Verschlüsselung von 10 TB
• Selbstverbreitungsfähig?
• Größe des Ransomware-Beispiels
• Gesamtzahl der verschlüsselten Dateien

Wir hätten uns mehr Einzelheiten zu dem konkreten Datenset gewünscht, das LockBit zum Verschlüsseln verwendete. Das hätte uns geholfen, einige der LockBit-Ergebnisse besser zu verstehen, beispielsweise die Zeitdauer für die Verschlüsselung von 100 GB und 10 TB. Wurden unterschiedliche Dateitypen und -größen oder Tausende Kopien derselben Datei zum Testen der Verschlüsselung verwendet?

LockBit machte nähere Angaben zu Betriebssystem, CPU und Arbeitsspeicher, die bei den Tests verwendet wurden. In puncto Festplatte sprach LockBit nur von SSD, nannte aber keine Einzelheiten hinsichtlich IOPS oder Durchsatz der zugrunde liegenden Festplatten. In diesem Blog findet ihr einen groben Überblick über IOPS und Durchsatz und ihre Auswirkung auf die Anwendungsleistung. Bei unseren ursprünglichen Recherchen zeigte sich, dass die Festplattengeschwindigkeit genauso wichtig ist wie die CPU-Geschwindigkeit und die Anzahl der CPUs, wenn es um die Gesamtleistung der Verschlüsselung geht.

Zusammenfassung der Testergebnisse von LockBit von erst- zu letztplatzierter Ransomware:

• 1. Platz – LockBit 2.0
• 2. Platz – LockBit 1.0
• 3. Platz – Cuba
• Letzter Platz – Avos

Unsere Tests

Wir gingen bei diesen Tests mit derselben Methodik wie bei unserer vorherigen Studie vor. Wir richteten eine Umgebung ein, die für jede getestete Variante identisch war. Wir verwendeten eine abgewandelte Version von Splunk Attack Range, um die Systeme in Amazon Web Services (AWS) zu erstellen. Das „Opfer“-System hatte folgende Spezifikationen:

• Windows Server 2016
• Amazon-EC2-Instance-Typ: c5.2xlarge
• CPU-Anzahl und -Typ: 8 x Intel Xeon 3,4 GHz
• RAM: 16 GB
• Festplatte: GP3 (16000 IOPS/1000MB/s Durchsatz)
• 98.561 Testdateien, verteilt auf 100 Verzeichnisse (unterschiedliche Datentypen und -größen)

Dies waren die in AWS verfügbaren Spezifikationen, die am ehesten geeignet waren, die Tests von LockBit zu replizieren. Die Festplattengeschwindigkeit war die höchste, die wir konfigurieren konnten, doch das galt für alle Varianten. Und wie bereits erwähnt, verwendeten wir unser „Opfer“-Datenset mit verschiedenen Dateitypen und -größen, um ein reales Dateisystem nachzubilden.

Wir haben jede Variante einzeln getestet, um jegliche Kontamination durch andere Varianten zu vermeiden, die sich möglicherweise während des Experiments lateral verbreiten. Jede Variante wurde manuell gestartet, da sich einige Varianten nicht über PowerShell starten lassen (nicht wahr, Babuk?). Durch die manuelle Beobachtung per RDP haben wir den Abschluss jedes Testlaufs bestätigt.

In unserem Labor richteten wir zudem einen Windows 2019-Server ein, der als Domänencontroller fungierte. Er hatte keine freigegebenen Laufwerke, es gab aber keine Firewall-Regeln auf dem System oder AWS, die den Zugriff zwischen ihm und dem ursprünglichen „Opfer“-System unterbanden.

Und der Gewinner ist...

Bevor ich euch diesen verrate, solltet ihr wissen, dass unsere Ergebnisse zwar ähnlich, aber nicht mit den Ergebnissen von LockBit identisch waren. Und ich denke, dass wir vertrauenswürdiger sind als eine Ransomware-Crew, die bei ihren Tests ein gewisses Eigeninteresse verfolgt.

Trotz allem war LockBit auch bei unseren Tests am schnellsten. Doch nicht LockBit 2.0! LockBit 1.0 war tatsächlich schneller als sein Nachfolger. Nicht viel, aber trotzdem schneller.

Gesamtdauer der Verschlüsselung:

• LockBit 1.0: 2 Minuten 20 Sekunden
• LockBit 2.0: 2 Minuten 30 Sekunden

LockBit 2.0 ist allerdings viel effizienter als LockBit 1.0, da es nur halb so viele CPU-Threads verwendet und 27 Mal weniger Festplattenzugriffe benötigt. Offensichtlich hat LockBit also zwischen den beiden Versionen eine Reihe von Verbesserungen vorgenommen, nur eben nicht im Bereich der Gesamtgeschwindigkeit.

Und LockBit 2.0 landete dann auch direkt hinter Version 1.0, oder? Falsch. Die folgende Variante setzte sich ganz knapp vor LockBit 2.0 auf Platz zwei!

• PwndLocker: 2 Minuten 28 Sekunden

Zusammenfassung unserer Ergebnisse:

• 1. Platz: LockBit 1.0
• 2. Platz: PwndLocker
• 3. Platz: LockBit 2.0
• Letzter Platz: Avos

PwndLocker, LockBit 1.0 und LockBit 2.0 nutzen ähnliche Methoden für die partielle Verschlüsselung, welche die Prozesse beschleunigen.

LockBit 2.0 verschlüsselt nur die ersten 4 KB einer Datei und lässt den Rest unverändert. Allerdings genügt dies, um die meisten Dateien nach der Verschlüsselung unbrauchbar zu machen.

^{Abb. 2. Screenshot einer von LockBit 2.0 verschlüsselten TXT-Beispieldatei (die ersten 4 KB, rot markiert, wurden verschlüsselt, und der Rest der Datei, grün markiert, blieb unverändert)}

PwndLocker lässt die ersten 128 B unverschlüsselt, verschlüsselt nur die nächsten 64 KB und lässt den Rest unverändert.

^{Abb. 3. Screenshot einer von PwndLocker verschlüsselten TXT-Beispieldatei (die ersten 128 B, grün markiert, blieben unverändert, die nachfolgenden 64 KB, rot markiert, wurden verschlüsselt)}

LockBit 1.0, unsere schnellste Variante, verschlüsselt 256 KB jeder Datei sehr schnell, indem es eine hohe Anzahl von CPU-Threads zusammen mit hohen Festplattenzugriffsraten nutzt.

Die schnellsten Varianten nutzen eher partielle Verschlüsselungsmethoden, mehr CPU-Threads oder eine Kombination aus beidem.

Das arme alte Avos landete sowohl im Test von LockBit als auch in unserem Test auf dem letzten Platz. Abgesehen davon stimmen jedoch nur wenige der anderen Ergebnisse der beiden Tests überein. Am Ende dieses Blogs findet ihr eine ausführliche Tabelle mit unseren Testergebnissen und Verschlüsselungsstatistiken.

Die folgende Tabelle zeigt unsere und LockBits Testergebnisse im Vergleich.

Die mangelnde Übereinstimmung der Ergebnisse erklären wir uns in erster Linie damit, dass bei den beiden Testreihen unterschiedliche Dateitypen und -größen verwendet wurden. Wenn wir wüssten, welches Datenset LockBit verwendet hat, könnten wir die Testergebnisse besser einordnen.

Erkenntnisse

Wichtige Erkenntnisse und Empfehlungen aus diesem Experiment:

• Wenn eine Ransomware-Crew an den Punkt gelangt, an dem sie eure Systeme verschlüsseln kann, dann könnt ihr davon ausgehen, dass jede Hilfe zu spät kommt.
• LockBit ist zwar schnell, doch es ist nicht die einzige Ransomware-Variante, die zu extrem hohen Geschwindigkeiten fähig ist. Auch andere Varianten nutzen partielle Verschlüsselungstechniken, um die Verschlüsselung zu beschleunigen.
• Schützt euer Unternehmen, schon bevor Ransomware ausgeführt wird. Haltet euch an die Grundsätze der Cyberhygiene (Installieren von Patches, Offline-Backups) und setzt auch Dinge um, die mittlerweile als grundlegende Cyberhygiene-Praktiken gelten sollten (Multi-Faktor-Authentifizierung, Netzwerksegmentierung, zentrale Protokollierung).

Fazit

Es war interessant, bei unseren Tests dieselben Beispiele zu verwenden, die LockBit eingesetzt hat. Während die Ergebnisse der schnellsten und langsamsten Beispiele in den beiden Testreihen eng beieinander lagen, gab es bei den anderen Ergebnissen große Unterschiede. Die für die Verschlüsselung unseres Testdateisystems notwendige Gesamtdauer war jedoch selbst bei den langsamsten Tests immer noch recht schnell. Wir möchten hier daher nochmals unsere Empfehlung unterstreichen, bei der Priorisierung von Netzwerkschutzmaßnahmen bereits in der Zeit vor einem Angriff anzusetzen.

Viel Spaß beim Threat Hunting!

Anhang

Verschlüsselungsstatistiken zu unseren Tests:

Hash-Werte der Datei SHA256 für die getesteten Varianten:

Autoren und Mitwirkende: Wie üblich ist das Thema Sicherheit bei Splunk Teamwork. Dank an Autoren und Mitwirkende: Shannon Davis, Ryan Kovar

^{Bannerfoto von Artem Beliaikin von Pexels}

_{*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier: Truth in Malvertising?}