akira

exploding security #24 - Akira entschlüsseln - Ransomware Übersicht Juni - BGP Tools - ID Ransomware - Password Game

Captain what a week. Twitter zeigte diese Woche endgültige Auflösungserscheinungen. So wurden für nicht verifizierte Accounts Beschränkungen geschaltet und das Lesen für Tweets ohne Accounts abgeschaltet, vermutlich, um sich gegen den „Angriffsvektor“ Large Language Model (LLM) zu schützen.

sral

8 min read
exploding security #24 - Akira entschlüsseln - Ransomware Übersicht Juni - BGP Tools - ID Ransomware - Password Game
Photo by Kurt Liebhaeuser / Unsplash

Captain what a week. Twitter zeigte diese Woche endgültige Auflösungserscheinungen. So wurden für nicht verifizierte Accounts Beschränkungen geschaltet und das Lesen für Tweets ohne Accounts abgeschaltet, vermutlich, um sich gegen den „Angriffsvektor“ Large Language Model (LLM) zu schützen. Letzteres führte allerdings zu ungewollten Nebenwirkungen „Rate Limit Exceeded“. Nebenwirkungen in Form einer Self DDoS Attacke waren das Ergebnis, na herzlichen Glückwunsch. Google ist bereits 2016 auf solche möglichen Probleme näher eingegangen.

Viel Spaß mit explodingsecurity #24

rueckblick-2
Rückblick: Was gibt es Neues zu den Themen der letzten Woche?

Barmer Bonusprogramm Hack

Noch ein kurzer Nachtrag zum Datenabfluss bei der Barmer am 31. Mai 2023, genauer gesagt beim Dienstleister, der für das Bonusprogramm zuständig ist. Es handelt sich dabei um die Majorel Wilhelmshaven GmbH. Dieser Dienstleister hat sich auf Leistungen (Kundenerfahrungen) wie Bonusprogramme spezialisiert. In einem Artikel des Merkur wird bestätigt, dass MOVEit verantwortlich war. Allerdings versteckt sich die Unternehmenssprecherin hinter der Masse der Opfer, unnötig.

zahlenblock
Zahlenblock: In diesem Bereich werden Reports, Statistiken und andere Zahlenwerke behandelt.

Ransomware im Juni 2023

Der Monat Juni ist bekanntlich geendet. Daher habe ich dir eine kleine Zusammenfassung der Ransomware Angriffe auf deutsche Firmen und Behörden zusammengestellt. Es handelt sich um eigene Recherche. In die Statistik sind, seitens Cl0p, Üstra und BIG direkt gesund eingeflossen, diese Angriffe stammen aus dem Mai, wurden aber erst im Juni von BlackBasta öffentlich gemacht.

Insgesamt sind die getrackten Ransomware-Angriffe etwas zurückgegangen und das trotz der Cl0p Großoffensive. BlackBasta hat das Niveau zum letzten Monat gehalten, dafür war zumindest im deutschsprachigen Raum von 8Base wenig zu sehen. Entgegen meiner Vermutung vom letzten Monat ist die Gruppe weiterhin recht aktiv. Interessanterweise ist auch die Aktivität der Play Gruppe im DACH Raum rückläufig.

Neuer Player wie Rhysida werden wohl in den kommenden Monaten weiterhin von sich hören lassen. Royal hingegen zeigt Auflösungserscheinungen, deren „Shame Site“ ist seit einiger Zeit offline.

oeffnungszeiten-2
In der Sektion Öffnungszeiten werde ich über einen Teil der Security Breaches der letzten Woche berichten.

Auch in der KW 26 hat die Ransomware Gang Cl0p neue Opfer präsentiert, so wurden unter anderem Schneider Electric, Siemens Energy und Rhenus SE genannt.

Den Ransomware-Vogel hat die Cybergang Lockbit 3.0 letzte Woche abgeschossen. Sie verlangen vom Chipfertiger TSMC nicht weniger als 70 Millionen. Der Hersteller hatte wohl in den vergangenen Wochen einen Vorfall bei einem IT-Hardware-Zulieferer. Bei der Summe klingen die 10 Millionen für Hinweise zur Cl0p Gang (siehe ES 22) fast schon wieder lächerlich.

Auf Seiten von Überlastungsangriffen (DDoS) galt der Fokus diese Woche Schweden und Frankreich. Den größten Impact dürften jedoch DDoS Angriff auf Blizzard Server gehabt haben. Diablo 4 war teilweise PC, PS5 und Xbox nicht spielbar, auch World of Warcraft hatte mit Problemen zu kämpfen. Gut gut, dass Diablo 4 keinen Offline-Modus unterstützt...

Siemens Energy Global GmbH & Co. KG

  • Angreifer: Cl0p
  • Angriffsart: Ransomware

Rhenus SE & Co KG

  • Angreifer: Cl0p
  • Angriffsart: Ransomware

FIXIT TM Holding GmbH

  • Angreifer: Black Basta
  • Angriffsart: Ransomware

Cash. Media Group

  • Angreifer: BloodNet
  • Angriffsart: DDoS

Germany Trade & Invest (GTAI)

  • Angreifer: BloodNet
  • Angriffsart: DDoS

Brückner-Werke KG

  • Angreifer: BloodNet
  • Angriffsart: DDoS

Messe Nürnberg

  • Angreifer: BloodNet
  • Angriffsart: DDoS

Schwälbchen Molkerei Jakob Berz AG

  • Angreifer: unbekannt
  • Angriffsart: unbekannt

schadstoffe-1
Der Bereich Schadstoffe soll analog zum Bereich Öffnungszeiten von Tools und Angriffen handeln. Allerdings sind Ransomware, Erpressungstrojaner, DDoS und Co im Fokus. Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

Akira Ransomware

  • Erstkontakt: 03/2023
  • Verschlüsselung: Symmetrische Verschlüsselung
  • Dateierweiterung: .akira

Ich hatte dir Akira Ransomware noch nicht vorgestellt, da bisher zum Großteil amerikanische Firmen davon betroffen waren. Die Gruppe wurde in ES 17 angeteasert und wird nun genauer behandelt.

Es handelt sich um eine relativ neue Ransomware Gang und hat nichts, wei der Name vermuten lässt, mit Cyberpunks und Co zu tun. Die Gang ist erst seit März dieses Jahres aktiv ist und hat sich auf Windows Systeme spezialisiert. Wie bei vielen aus der Ransomware Szene werden nach dem Eindringen in ein System, Volumen Schattenkopien via PowerShell Skript gelöscht und danach Daten mit bestimmten Dateiendung via Windows CryptoAPI verschlüsselt. Programmverzeichnis, Windowsordner, sowie Papierkorb werden verschont.

Firmen werden im Darknet auf einer speziellen Leakwebseite veröffentlicht. Die Webseite sieht aus wie aus den 80er-Jahren und kann nur via Konsoleneingabe bedient werden.

Forscher haben gerade neue Variante für Linux Systeme entdeckt, welche VMware ESXi Server angreifen kann (VirusTotal Sample). Hier kommt anstatt Windows CryptoAPI die Crypto++ library zum Einsatz, ansonsten gibt es kaum Unterschiede.

Akira Entschlüsseler

Ich stelle dir Akira heute nicht ohne Hintergedanken vor. Denn Avast hat in der letzten Woche einen Decryptor für die aktuelle Windows Variante vorgestellt. Dies dürfte alle Opfer sicher freuen.

Wie Avast den Verschlüsselungsvorgang genau geknackt hat, ist nicht bekannt. Der Umstand, dass symmetrische Teilverschlüsselung verwendet wird, hat sicherlich dazu beigetragen. Avast liefert dir im Prinzip nichts anderes als einen Passwortcracker für deine verschlüsselten Daten. Der Hersteller empfielt die Verwendung der 64bit Variante, da der Vorgang relativ speicherhungrig ist. Ein Entschlüsselungstool für Linux ist bereits in Arbeit.

ID Ransomware

Falls du dir nicht sicher bist, welche Ransomware deinen Rechner oder dein Netzwerk befallen hat, bietet dir das Online-Tool ID Ransomware vom MalwareHunterTeam eine große Hilfe. Denn du kannst dort Beispieldateien hochladen und analysieren lassen. Zusätzlich wird dir im Ergebnis angezeigt, ob es ein Entschlüsselungstool dafür gibt. Unter den momentan 1100 Einträgen befinden sich Tools für zurzeit aktive Ransomware wie Akira oder Trigona.

Darkrace Ransomware

  • Erstkontakt: 05/2023
  • Programmiersprache: Microsoft Visual C/C++
  • Verschlüsselung: AES
  • Dateierweiterung: .1352FF327

Die Darkrace Ransomware zeigt große Ähnlichkeit mit Lockbit und ist auf Windows Systeme ausgerichtet. Entdeckt wurde sie von S!Ri Ende Mai 2023. Die Leak-Seite der Gruppe ist zurzeit offline, nach dem einige Opfer publiziert wurden. Als sie noch online war, konnten Betroffene die Cybergang zudem via qTox-Chat oder E-Mail erreichen.

Die Ransomware selbst verschlüsselt dank einer hartgecodeten Whitelist nicht alle Dateien auf einem System, vermutlich aus Geschwindigkeitsgründen. Windows Schattenkopien und Papierkorb werden im Vorfeld ebenfalls gelöscht. Weitere Details findest du in einem aktuellen Cyble Bericht.

schulbank-1
Der Klassenraum soll nicht abschrecken, sondern dir eine Möglichkeit geben, Wissen im IT-Security-Bereich anzureichern oder aufzufrischen.
Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar

Hunters and Hunted - Ransomware Dokumentation

Sophos hat den zweiten Teil seiner dreiteiligen Ransomware Dokumentation veröffentlicht. Hatte selbst noch keine Zeit dazu, kann also wenig dazu sagen.

VoIP Security – SIP und Co

Was ist VoIP, wie funktioniert das Session Initiation Protocol (SIP) und wie kannst du deine Telefonie Umgebung absichern. Diese Fragen, mit dem Schwerpunkt Security, behandelt Wesecureapp in einer neuen Artikelserie. Neben dem groben Aufbau einer Umgebung soll es in in weiteren Artikeln um Pentesting von VoIP Systemen gehen, dazu werden bekannte Tools wie Mr.SIP oder Sipvicious eingesetzt. Eventuell hast du keine Geduld auf den kompletten Artikelsatz zu warten, zur Überbrückung hier ein weiterer Artikel zu VoIP Pentesting. Final empfehle ich dir noch den RTCSsec Newsletter, der dich regelmäßig zu Security Themen im VoIP Bereich abholt.

Geheimnisse im Cache von CDN Anbietern

Das täglich Brot von Content Delivery Anbietern (CDN) ist Caching. Für dieses Caching gilt der Standard RFC 7234. Das Zwischenspeichern von Daten hat Vorteile, bietet aber auch Gefahren, zum Beispiel, wenn private HTTP Authorization Header, die für einen authentifizierten Benutzer bestimmt waren, für anderen zugänglich sind.

A shared cache MUST NOT use a cached response to a request with an Authorization header field to satisfy any subsequent request unless a cache directive that allows such responses to be stored is present in the response.

Mit genau dieser Problematik hatte Bunny CDN in der Vergangenheit zu tun (das Problem ist inzwischen gefixt), wie ein Artikel von HTTP Toolkit aufdeckt. Ich kann dir nicht nur den Artikel empfehlen, sondern auch deren Tool. Damit kannst du einfach HTTP/S Header untersuchen.

Cloudflare Observatory und Snippets

Cloudflare unterstützt in seinem Observatory ab sofort Performance Tests. Wie so oft wird in einem ausführlichen Blogartikel der Hintergrund erklärt.

Zusätzlich sind Snippets in einer Alpha Version verfügbar. Snippets sind kleine, vom Benutzer erstellte JavaScripts, die von Cloudflare ausgeführt werden, bevor deine Webseite, API oder Anwendung dem Anwender zur Verfügung gestellt wird.

werkzeugkasten-1
Im Bereich Werkzeugkasten werden dir Tools aus dem IT-Security-Universum vorgestellt. Bitte beachte, dass die genannten Methoden und Werkzeuge dem Bildungszweck zur Verbesserung der IT-Sicherheit dienen. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

In dieser exploding security Ausgabe gebe ich dir ein paar Tools an die Hand, die mal nichts mit DAST und SAST oder Blue und Purple Teams zu tun haben. #24 wirft einen Blick hinter die Kulissen und zeigt dir ein paar Tools, um das Rückgrat des Internets etwas besser auszuleuchten.

BGP Alerter

Wie lassen sich eigentlich Border Gateway Protocol (BGP) Announcements und Routen überwachen? Na mit dem BGPAlerter. Es handelt sich dabei um ein Open-Source-Tool, welches öffentlich verfügbare Informationen nutzt, um in Echtzeit über Routen und Announcements zu informieren.

BGP ist das im Internet eingesetzte Routingprotokoll und verbindet autonome Systeme (AS) miteinander. Genau diese AS und deren Präfixe lassen sich mit dem kleinen Linux Tool recht einfach monitoren. Wird ein Alarm getriggert, kann dieser unter anderem an Slack, Kafka und Co weitergeleitet werden.

PeeringDB

Wie sind eigentlich die oben erwähnte AS bzw. Internet Exchange Points vernetzt? Hier hilft dir die PeeringDB weiter. PeeringDB ist eine frei verfügbare, von Nutzern gepflegte Datenbank von Netzwerken. Da es sich um eine communitygeführte Datenbank handelt, müssen die Informationen nicht unbedingt aktuell sein, dennoch stellt die Seite eine gute Anlaufstelle dar. Mit der HowTo Seite ist der Umgang schnell erlernt.

Laut eigenen Aussagen tragen fast ein Drittel der Autonomen Systeme (ASNs) ihre Verbindungsdaten in die PeeringDB-Datenbank ein. Momentan befinden sich 1108 Austauschpunkte und 27954 Netzwerke in der Datenbank. RIPE gibt einen Ausblick auf neue Funktionen im Jahr 2023.

BGPlay

BGPlay ist ein Open Source JavaScript Framework, mit dem du Änderungen in BGP-Routen visualisieren kannst. RIPE hat das Tool auf seiner Webseite eingebunden und du kannst es frei verwenden. Hier siehst du am Beispiel Cloudflare, dass es recht schnell unübersichtlich wird, je nachdem wie groß das gesuchte Netz ist.

dn42 - BGP Spielwiese

Du interessierst dich etwas mehr für BGP, ASN und Co. Dann kannst du auf dn42 mal dein Glück versuchen.

dn42 ist ein großes dynamisches VPN, das Internet-Technologien (BGP, whois-Datenbank, DNS usw.) einsetzt. Die Teilnehmer verbinden sich über Netzwerktunnel (GRE, OpenVPN, WireGuard, Tinc, IPsec) miteinander und tauschen Routen sich über das Border Gateway Protocol aus.

Es handelt sich hier somit nicht um das freie Internet, sondern eher um ein Peer-to-Peer-Netz, welches BGP spricht. Die in dn42 am häufigsten verwendeten BGP-Implementierungen sind BIRD und FRR, aber auch OpenBGPD, XORP, GoBGP oder die Implementierung von JunOS oder Cisco IOS kommen zum Einsatz.

Na, Interesse bekommen? Hier findest du alles Wissenswerte zu dn42.

endladung

Das Passwort Spiel erobert gerade die Browser dieser Welt. Damit bekommst du sicher die aktuelle Woche in Ruhe über die Bühne.

abschluss
Das war es schon für diese Woche, vielen Dank fürs Durchscrollen.
Solltest du Feedback oder Vorschläge haben, darfst du mich gerne direkt via E-Mail oder Twitter @explodingsec anschreiben.
Kaffee trinke ich übrigens auch gerne.