RansomHub-Ransomware: Angriff über RDP mit Mimikatz und Netzwerk-Scanning-Tools

Ein aktueller Vorfall zeigt, wie die RansomHub-Ransomware gezielt über schlecht geschützte Remote-Desktop-Verbindungen (RDP) in Unternehmensnetzwerke eingeschleust wird. Der Angriff begann im November 2024 mit einem sogenannten Passwort-Spray – einer Methode, bei der eine geringe Anzahl gängiger Passwörter auf viele Benutzerkonten angewendet wird. Innerhalb von nur vier Stunden wurden zahlreiche Login-Versuche über einen öffentlich zugänglichen RDP-Server registriert.

Nach erfolgreicher Kompromittierung eines Benutzerkontos verschafften sich die Angreifer interaktiv Zugriff auf das System. Es folgte eine erste Erkundungsphase: Mit Standard-Windows-Befehlen wie net user und net group wurden Benutzerinformationen gesammelt. Zur weiteren Ausweitung der Zugriffsrechte setzten die Angreifer auf Tools wie Mimikatz und Nirsoft CredentialsFileView, mit denen sie Anmeldedaten extrahierten – teilweise direkt aus dem LSASS-Speicher.

Zur Netzwerkaufklärung kamen Werkzeuge wie Advanced IP Scanner, NetScan und verschiedene Living-off-the-Land-Binärdateien (LoLBins) zum Einsatz. Die gesammelten Daten wurden anschließend mithilfe von Rclone über das SFTP-Protokoll auf einen externen Server exfiltriert.

Im finalen Schritt des Angriffs wurde die RansomHub-Ransomware in der Umgebung verteilt. Die Verbreitung erfolgte netzwerkweit über SMB-Freigaben sowie durch die Ausführung über Remote-Dienste. Der Vorfall unterstreicht einmal mehr die Gefährdung durch unzureichend gesicherte RDP-Zugänge und den professionellen Werkzeugeinsatz moderner Angreifer.

Etwa zwei Stunden nach der ersten Authentifizierung beim Beachhead-Host nutzte der Angreifer RDP, um sich lateral auf zwei Domänencontroller zu bewegen. Auf den Domänencontrollern gelangte er über die grafische Benutzeroberfläche (GUI) zu den Windows-Verwaltungstools, um die DNS-Verwaltungskonsole zu untersuchen. Gleichzeitig versuchte der Angreifer weiterhin, auf weitere Server und Endpunkte zuzugreifen, und führte ähnliche Aktivitäten durch, nämlich Aufklärung über Netzbefehle und das Sammeln von Anmeldedaten mit Mimikatz in der gesamten Umgebung. Im gleichen Zeitraum wurde Advanced IP Scanner über den Microsoft Edge-Browser heruntergeladen und ein Netzwerkscan vom Beachhead-Host aus gestartet.

Der Angreifer setzte dann seine laterale Bewegung auf weitere Hosts fort, wobei er Backup-Server, Dateiserver, Hypervisoren und weitere Domänencontroller ins Visier nahm. Er nutzte Mimikatz auf mehreren dieser Hosts und gab CSV-Dateien aus, die nach den untergeordneten Domänen benannt waren, zu denen die Hosts gehörten. Aufgrund der Protokolle gehen wir davon aus, dass diese Aktivität dazu diente, zu überprüfen, ob ihr Pivot-Domänenadministratorkonto in den verschiedenen Domänen vorhanden war. Der Angreifer beendete seine Aktivitäten für diesen Tag, indem er Dokumente auf verschiedenen Dateifreigaben einsehen konnte, nachdem er sich mit seinem hochprivilegierten Konto über RDP erfolgreich Zugang zu mehreren hochwertigen Servern innerhalb der Umgebung verschafft hatte.

Am zweiten Tag kehrten sie zum Brückenkopf zurück und führten Advanced IP Scanner sowie SoftPerfect NetScan erneut aus, um eine umfassendere Netzwerkabbildung zu erstellen. Später wurde Atera über RDP auf zwei Backup-Servern installiert, wahrscheinlich um den dauerhaften Fernzugriff über legitime Verwaltungskanäle aufrechtzuerhalten. Der Angreifer setzte seine Erkundung fort.
Zu Beginn des dritten Tages setzten sie Rclone ein, um Dateien über SFTP zu exfiltrieren. Die Rclone-Konfiguration verwendete Hilfsskripte und war so konfiguriert, dass bestimmte Dateitypen wie Dokumente, Tabellenkalkulationen, E-Mails und Bilddateien einbezogen wurden. Die Übertragung erfolgte über Port 443, aber es wurde bestätigt, dass es sich um SFTP-Datenverkehr handelte.

Am fünften Tag kehrte der Angreifer über Splashtop zurück, das auf einem der Backup-Server installiert war. Von dort aus führte er mit Netscan einen weiteren Netzwerkscan durch. Anschließend nutzte er RDP, um sich mit mehreren Hosts zu verbinden, darunter auch Domänencontroller, auf denen mehrere Benutzerkennwörter zurückgesetzt wurden. Etwas mehr als eine Stunde nach seiner erneuten Aktivität, nun am sechsten Tag des Angriffs, verband sich der Angreifer mit einem neuen Server, führte eine weitere Runde Netscan durch und bereitete dann die Bereitstellung der Ransomware vor. Er legte die Binärdatei mit dem Namen „amd64.exe“ ab und führte sie auf dem Host aus. Dies löste eine Kette von Ereignissen aus, bei der Dateien auf dem lokalen Host verschlüsselt wurden, aber auch Remote-Hosts kontaktiert wurden, um eine Kopie der Ransomware über SMB zu übertragen und diese Datei dann mithilfe eines Remote-Dienstes auf den Hosts auszuführen.

Nach der Ausführung versuchte die Ransomware, alle laufenden virtuellen Maschinen zu beenden, permissive Symlinks einzurichten, Schattenkopien zu löschen und Ereignisprotokolle zu löschen. Anschließend wurden Dateien verschlüsselt und eine Nachricht hinterlassen, die die Lösegeldforderung an die RansomHub-Gruppe weiterleitete. Die Time to Ransomware (TTR) für diesen Angriff betrug etwa 118 Stunden über sechs Kalendertage.

Auswirkungen

Am sechsten Tag begann der Angreifer mit der Bereitstellung von Ransomware im Netzwerk mit einer Ransomware-Binärdatei namens amd64.exe. Anhand des SPLog.txt-Protokolls von Splashtop konnten wir erneut beobachten, dass der Angreifer auf diese Weise die Ransomware-Binärdatei in die Umgebung eingeschleust hatte. Außerdem wurden die Remote-Verzeichnisse auf dem Host des Angreifers offengelegt, in denen die Datei bereitgestellt worden war.

In den Sysmon-Protokollen wurde dies als von der Explore.exe-Sitzung aus der Splashtop-Verbindung erstellt angezeigt.

Die ursprüngliche ausführbare Ransomware-Datei wurde direkt über cmd.exe aus einer RDP-Sitzung aufgerufen.

Sobald die Ransomware ausgeführt wurde, führte sie eine Reihe von Befehlen aus, die alle auf dem System ausgeführten virtuellen Hyper-V-Maschinen stoppten, Schattenkopien löschten und Ereignisse aus einigen Windows-Ereigniskanälen löschten. Darüber hinaus nutzte sie integrierte Funktionen zur lateralen Bewegung, um sich über SMB auf andere Hosts im Netzwerk zu verbreiten. Das Flag „-only-local“ wurde verwendet, um eine Verbreitungsschleife für die Ransomware zu verhindern. Auf den Remote-Hosts wurde die Ransomware über einen Remote-Dienst mit einem zufälligen 6-stelligen Namen als Bildname und Dienstname ausgeführt. Dies ist aus der Ereignis-ID 7045 – Service Control Manager Provider ersichtlich.

Nach erfolgreicher Ausführung verschlüsselte die Ransomware die betroffenen Dateien und hinterließ die folgende Lösegeldforderung:

Zeitachse

MITRE ATT&CK

Quelle: The DFIR Report

---