Einblicke in Ransomware-Angriffe durch INC Ransom

Einblicke in Ransomware-Angriffe durch INC Ransom

Wir, das HvS IR-Team, haben einen Ransomware-Vorfall bearbeitet, bei dem „INC Ransom“ absichtlich Daten zerstört und während der Verhandlungen falsche Informationen bereitgestellt hat. Die Ransomware-Gruppe nutzte eine Schwachstelle in der FortiGate-Firewall aus Januar 2025 (FG-IR-24-535). In diesem Artikel teilen wir unsere Erkenntnisse und geben Empfehlungen.
Eigentlich basierte der Angriff auf typischen Angriffstechniken, bekannte Schwachstellen und weit verbreitete Fehlkonfigurationen und passt somit in das typische Muster von Ransomware-Angriffen. Trotzdem gelang den Angreifern innerhalb von 48 Stunden nach dem ersten Zugriff die vollständige Verschlüsselung der Umgebung. Daraus kann man wertvolle Schlüsse ziehen:

Patching ist ein kritischer Faktor

Aufgrund einer kürzlich aufgetretenen Fehlkonfiguration der Firewall war das Management Interface im Internet erreichbar. Die nicht gepatchte Firewall war bereits seit längerer Zeit verwundbar, aber die Schwachstellen konnten bis zu diesem Zeitpunkt nicht über das Internet ausgenutzt werden. Aus diesem Grund predigen wir seit Jahren, dass kritische Schwachstellen unverzüglich gepatcht werden müssen, egal, ob das betroffene Gerät oder der betroffene Dienst über das Internet zugänglich ist. Ein kleiner Konfigurationsfehler kann alles verändern, wie in diesem Fall.

Typisches Vorgehen bei FortiGate Firewalls

Unsere verschiedenen analysierten FortiGate-Vorfälle zeigen, dass Angreifer häufig nach folgendem Muster vorgehen:

• Sie konfigurieren einen maliziösen „super_admin“ User in der FortiGate-Firewall, um einen dauerhaften Zugriff zu bekommen.
• Sie laden die FortiGate-Config herunter und extrahieren Secrets und Zugangsdaten wie RADIUS-Benutzer, VPN-Pre-Shared-Keys und TLS-Zertifikate mit FG-IR-19-007.
• Sie ändern die SSL-VPN-Konfiguration, um die FortiGate missbrauchen zu können.

Lösegeldverhandlungen mit INC Ransom

Unsere Verhandlungen mit INC Ransom ergaben interessante Ergebnisse.

• Sie versprachen bei Zahlung ein Decryption-Tool für eine schnelle Wiederherstellung, löschten jedoch mehrere Hyper-V-Volumes und beschädigten sie somit irreparabel. Selbst durch Zahlung eines Lösegeldes wäre eine Wiederherstellung nur aus dem Backup möglich gewesen.
• Als wir sie nach „initial access“ und „Privilege Escalation“ fragten, gab INC Ransom falsche Informationen an und behauptete, dass ein FortiGate-Administratorkonto durch eine Brute-Force-Attacke geknackt worden sei. Wir konnten dieses Szenario jedoch ausschließen, da das betreffende Konto über eine Trust-Host-Definition verfügte und nicht von außen umgangen werden konnte.

Beeindruckende Geschwindigkeit

Fehlerhafte Konfigurationen und Schwachstellen im Active Directory führen sehr oft zu einer schnellen Kompromittierung der Domäne und ermöglichen Ransomware-Angreifern eine schnelle und effiziente Exfiltration und Verschlüsselung. Auch in diesem Fall benötigten die Angreifer nur 48 Stunden vom ersten Zugriff bis zur vollständigen Verschlüsselung. Das ist einfach deutlich zu schnell.
 

Unsere Empfehlungen

• Patchen Sie kritische Schwachstellen in öffentlich erreichbaren Komponenten in Verbindung mit einem Compromise Assessment. Konzentrieren Sie sich bei so einem Assessment nicht nur auf aktuelle Indicators of Compromise (IOCs), sondern auch auf die Konfigurationen der betroffenen Appliances.
• Überprüfen Sie Ihre konfigurierten Credentials und Secrets auf öffentlich erreichbaren Komponenten gründlich. Setzen Sie das „Principle of least privilege“ und vermeiden Sie strikt die Wiederverwendung von Konten oder Passwörtern.  
      Und noch ein Tipp: Verwenden Sie solche Konten als Canary. Richten Sie beispielsweise einen Alert ein, falls sich ein RADIUS-Benutzer von einer anderen Quelle als der zugehörigen FortiGate anmeldet.
• Active Directory Hardening ist wirklich entscheidend. Führen Sie regelmäßig PingCastle-Reviews durch. Das Ziel sollte ein Wert von unter 50 sein. Darüber hinaus sollten LAPS und AD-Tiering umgesetzt werden.
• Verwenden Sie unsere HvS-IOCs, um in Ihrer eigenen Umgebung nach Angriffsspuren zu suchen.

Dieser Angriff zeigt einmal mehr: Sicherheit ist kein Produkt, sondern ein Prozess. Verlassen Sie sich nicht auf eine einzige Barriere (z.B. Firewall). Der Schutz vor Ransomware-Angriffen erfordert einen Defense-in-Depth-Ansatz mit einem Mix aus Prevention, Detection und Response. Fehlt eine dieser drei Säulen, ist es sehr wahrscheinlich, dass Systeme so schnell kompromittiert werden, dass eine angemessene Reaktion kaum möglich ist.

Technische Details zum Angriff

Der Verlauf

INC Ransom verschaffte sich Initial Access durch Ausnutzung der Schwachstelle FG-IR-24-535 (FortiOS 7.0.15) in der FortiGate-Firewall. Das Management Interface der nicht gepatchten Firewall war versehentlich über das Internet erreichbar. Mit dem Exploit haben die Angreifer, ein maliziöses „super_admin“-Konto angelegt. Anschließend richteten sie eine SSL-VPN-Konfiguration ein und nutzten diese für den Fernzugriff auf das Netzwerk des Opfers. Die kompromittierte FortiGate-Firewall wurde weiter missbraucht, um die Credentials des für die RADIUS-Authentifizierung konfigurierten Active Directory-Benutzers zu extrahieren (weitere Details siehe FG-IR-19-007). Mit diesem Konto konnten sie weitere Analysen der Active-Directory-Domäne durchführen und schwache Konfigurationen oder Schwachstellen ausfindig machen. Anschließend führten die Angreifer einen Kerberoasting-Angriff durch und knackten das Passwort des integrierten Domain-Admin-Kontos, das auch als Service Principal für Single Service Installations konfiguriert war.
 

Mit Domain-Admin-Rechten bewegte sich INC Ransom mithilfe des Remote Desktop Protocol lateral durch das Netzwerk. Sie griffen auf den Dateiserver des Opfers zu und exfiltrierten weit über 10.000 Dateien. Innerhalb von 48 Stunden nach dem ersten Einbruch setzten die Angreifer ihre Ransomware auf Hyper-V-Servern ein, sie verwendeten dabei eine Variante ihres Crypters namens win.exe. Da die meisten virtuellen Maschinen verschlüsselt wurden, kam es zu weitreichenden Ausfällen. In einigen Fällen mussten die Angreifer die Ransomware manuell in einer VM ausführen oder sogar ganze Hyper-V-Volumes löschen. Wir nehmen an, dass dies Workarounds waren, wenn VMs nicht gestoppt werden konnten oder Dateisystem-Sperren nicht umgangen werden konnten. Schließlich wurde noch ein Meterpreter-basierter Remote-Access-Trojaner auf einem Hypervisor ausgeführt, wahrscheinlich als Fallback-Zugriffsmethode oder zur Überwachung der laufenden Verschlüsselung.

MITRE ATT&CK® -Taktiken
 

Indikatoren einer Kompromittierung

Um unsere IOCs direkt als MISP Feed zu beziehen, kann folgender Link verwendet werden:

Zu den IOCs 

Alternativ listet die folgende Tabelle unsere IOCs:

Category	Type	Indicator	Comment
Network activity	ip-dst	185.174.100.204	C2 channel of svchost.exe meterpreter sample
Network activity	url	http[://]185.174.100.204:443/L7RZw57VJ-b1dfR0k_tCyQtB1fJI8WowHQJSk54rTfUI2od24XrEIUzV5WGzx5fD0nPOwbVMrUfjFtDSZ8s8FudwarDyt7dL8gMPumRtXRv_ondaA99DiB1AmQDhTROOEB5RNqoBUGF7RO1eVLkzN4bgXoa9mjeqRlP1HJkpzxwa-XWfCySg54DfgGxSZPQAlpmdrTQwiPTmXmZzxGfhQBf	svchost.exe meterpreter C2 URI
Payload delivery	sha1	6e45db2cc4648a388fbd6f3d82c7da9c8e30187d	svchost.exe meterpreter sample
Payload delivery	filename	svchost.exe	svchost.exe meterpreter sample
Payload delivery	md5	2f000e0a52d6ee0c89f93fa5ab4c7e3c	svchost.exe meterpreter sample
Payload delivery	sha256	cf1ebd6fb534d65dd0e8164db9693988d5a4a645dd044beba578ab25c0033e66	svchost.exe meterpreter sample
Other	text	%PROGRAMDATA%\Microsoft\	svchost.exe meterpreter sample
Payload delivery	sha1	41b9a2ca27188c967a28a9b72950380cd0fa8e20	win.exe INC RANSOM crypter
Payload delivery	filename	win.exe	win.exe INC RANSOM crypter
Payload delivery	sha256	ef8bb466a368d5f564d05b54aea154b117847938c07627e85e3eb0e147296644	win.exe INC RANSOM crypter
Other	text	\Users\Administrator\Documents\x64	win.exe INC RANSOM crypter