Microsoft: Iranische Hacker verschlüsseln Windows-Systeme per BitLocker

Microsoft hat eine Welle von Cyberangriffen analysiert, bei der Microsofts hauseigene Verschlüsselungstechnik BitLocker zum Einsatz kommt, um Windows-Systeme zu verschlüsseln und unbrauchbar zu machen. Die Attacken ordnet Microsofts Threat Intelligence Team einer DEV-0270 genannten Gruppe zu, bei der es sich um einen Ableger der vom iranischen Staat unterstützten Phosphorus-Gruppe handeln soll.

DEV-0270, auch als Nemesis Kitten bezeichnet, soll vor allem bekannte Sicherheitslücken nutzen, um Netzwerke zu kompromittieren und Ransomware einzuschleusen. Aufgrund der Auswahl der Ziele, die augenscheinlich nicht immer einen strategischen Wert für die iranische Regierung haben, geht Microsoft davon aus, dass einige Angriffe ausschließlich monetäre Ziele verfolgen.

“DEV-0270 nutzt Schwachstellen mit hohem Schweregrad aus, um sich Zugang zu Geräten zu verschaffen, und ist dafür bekannt, dass sie neu entdeckte Schwachstellen frühzeitig ausnutzt. DEV-0270 verwendet außerdem in der gesamten Angriffskette in großem Umfang LOLBINs (Living-off-the-Land Binarys) für die Entdeckung und den Zugriff auf Anmeldeinformationen. Dies erstreckt sich auch auf den Missbrauch des integrierten BitLocker-Tools zur Verschlüsselung von Dateien auf kompromittierten Geräten”, schreibt Microsoft in einem Blogeintrag.

Alternativ wird mit DiskCryptor verschlüsselt

Der Analyse zufolge nutzen die iranischen Hacker bekannte Exploit für Schwachstellen wie ProxyLogon und Log4j. Über letztere sei allerdings bisher keine Ransomware eingeschleust worden. Außerdem sollen sie neue Benutzerkonten und geplante Aufgaben einrichten, um sich einen dauerhaften Zugang zu einem System zu verschaffen.

Die BitLocker-Verschlüsselung werde mit Befehlen aus einer Stapelverarbeitungsdatei aktiviert. “Das führte dazu, dass die Rechner nicht mehr funktionsfähig waren”, ergänzte Microsoft. “Für Workstations verwendet die Gruppe DiskCryptor, ein Open-Source-System zur vollständigen Festplattenverschlüsselung für Windows, das die Verschlüsselung der gesamten Festplatte eines Geräts ermöglicht. Die Gruppe lässt DiskCryptor aus einer RDP-Sitzung heraus fallen, und wenn es gestartet wird, beginnt die Verschlüsselung. Diese Methode erfordert einen Neustart zur Installation und einen weiteren Neustart, um den Zugriff auf die Arbeitsstation zu sperren.”

Lösegeldforderungen stellt die Gruppe laut Microsoft innerhalb von zwei Tagen nach dem ersten Zugriff auf ein System. In mindestens einem Fall wurde ein Betrag von 8000 Dollar gefordert. Wie andere Cybererpresse fährt aber auch DEV-0270 zweigleisig. Bei einem Angriff, bei dem das Opfer keine Lösegeld gezahlt habe, seien anschließend gestohlene Daten veröffentlicht worden.