NEWS
Forscher des Cyber-Deception-Anbieters MalBeacon untersuchten zwischen dem 3. und 16. Februar die Taktiken der Ransomware-Gruppe Velvet Tempest in einer emulierten Unternehmensumgebung.
Die Replikationsumgebung bildete eine gemeinnützige US-Organisation mit mehr als 3.000 Endgeräten und über 2.500 Benutzern nach. Die Forscher beobachteten, dass die Angreifer eine Malvertising-Kampagne nutzten, um Opfer über eine Kombination aus ClickFix und CAPTCHA dazu zu bringen, einen verschleierten Befehl in den Windows-Run-Dialog einzufügen.
In der dokumentierten Angriffskette folgten verschachtelte cmd.exe-Aufrufe, das Nachladen erster Loader über finger.exe, weitere PowerShell-Stages, das Kompilieren von .NET-Komponenten über den C#-Compiler csc.exe in temporäre Verzeichnisse sowie Python-Komponenten zur Persistenz in C:\ProgramData. Letztlich wurden DonutLoader und die CastleRAT-Backdoor nachgeladen. MalBeacon verknüpft Teile der Infrastruktur mit bekannten Intrusions der Termite-Ransomware – im beobachteten Fall wurde die Ransomware selbst jedoch nicht ausgerollt.
Velvet Tempest ist bekannt für Double-Extortion-Angriffe, bei denen Systeme nach dem Datendiebstahl verschlüsselt werden, und wird mit Ransomware-Varianten wie REvil und Conti in Verbindung gebracht.
Autor: Michael Niers
