Sicherheitsforscher von Varonis haben einen neuen Stamm von Ransomware identifiziert, der Dateien verschlüsselt und mit der Endung ".SaveTheQueen“ versieht. Die Angreifer nutzen dabei die SYSVOL-Freigabe auf dem Domänencontroller des Opfers, um die Malware lateral zu verbreiten und den Verlauf der Ausbreitung in der Domäne verfolgen zu können.
Nach Einschätzung der Experten ist der Next-Generation-Kryptotrojaner durch die Verwendung des betroffenen Domänencontroller (um die Malware zu verbreiten) und PowerShell (um die Malware zu öffnen und auszuführen) darauf ausgelegt, ganze Unternehmens-Infrastrukturen lahmzulegen. Dies scheint für die Cyberkriminellen die lukrativste Strategie zu sein, da sie durch den Zugriff auf das Domain-Administratorkonto auch andere Möglichkeiten eines Angriffs hätten, wie Kryptojacking oder Datendiebstahl.
SYSVOL ist ein zentraler Ordner auf jedem Domänencontroller, der für die Bereitstellung von Richtlinien (GPO) und Anmeldeskripts auf Domänen-Workstations verwendet wird. Der Inhalt des SYSVOL-Ordners wird zwischen den Domänencontrollern repliziert, um die Daten synchron zu halten. Das Schreiben in SYSVOL erfordert entsprechend hohe Domänenberechtigungen.
Wenn diese jedoch kompromittiert werden, ist dies ein leistungsstarkes Werkzeug für Angreifer, die es zur schnellen Verbreitung bösartiger Inhalte in der Domäne verwenden können. Folglich bringt die Kontrolle über ein Domain-Administratorkonto Angreifern eine Vielzahl an Möglichkeiten für kriminelle Aktivitäten. So wären sie auch in der Lage, gezielt nach wertvollen Informationen zu suchen oder Unternehmensressourcen für Kryptomining zu kapern.
Während die eigentliche Ransomware relativ konventionell agiert, nutzen die Malware-Entwickler Active Directory auf kreative Art und Weise zur Verbreitung des Droppers. Insofern stellt dieser neue Verschlüsselungstrojaner ein erhebliches Gefahrenpotenzial dar und unterstreicht jüngste Beobachtungen, die darauf hindeuten, dass auch Ransomware immer ausgefeilter wird.