Ein ungewöhnlicher Vorfall im Ransomware-Umfeld zeigt, dass selbst nach einer erfolgreichen Erpressungskampagne noch Hoffnung auf Datenrettung bestehen kann. Sicherheitsforscher von Cyber Centaurs gelang es, Zugang zur Infrastruktur einer Gruppe zu erhalten, die mit dem Kryptotrojaner INC ransomware in Verbindung steht. Auf den Servern der Angreifer fanden sie verschlüsselte Backups und konnten die Daten von zwölf US-Organisationen aus unterschiedlichen Branchen wiederherstellen.
Von einem einzelnen Incident zur Infrastruktur der INC-Ransomware
Ausgangspunkt der Untersuchung war ein Sicherheitsvorfall bei einem US-Unternehmen, bei dem auf einem produktiven Microsoft SQL-Server eine Ransomware-Aktivität festgestellt wurde. Die Analyse identifizierte eine Variante namens RainINC, eine Modifikation der bekannten INC ransomware, die aus dem Verzeichnis PerfLogs gestartet wurde. Dieses von Windows für Leistungsprotokolle vorgesehene Verzeichnis wird seit einigen Jahren häufig von Angreifern als Tarnverzeichnis für Malware missbraucht.
Im Rahmen der forensischen Analyse stießen die Experten auf Artefakte der legitimen Backup-Software Restic. Obwohl Restic in diesem konkreten Fall nicht direkt für die Datenexfiltration eingesetzt wurde – diese erfolgte nach Erkenntnissen der Ermittler bereits während der seitlichen Bewegung im Netzwerk –, erwies sich das Tool als Schlüssel, um von einem lokalen Incident zur Infrastruktur der Erpressergruppe vorzudringen.
Restic-Missbrauch und langlebige Ransomware-Repositorien
Die Spuren der INC-Gruppe umfassten umbenannte Binärdateien (etwa winupdate.exe), PowerShell-Skripte zum Start von Restic sowie hart kodierte Konfigurationsparameter: Repository-Adressen, Backup-Befehle und Zugangsdaten für Cloud-Speicher.
PowerShell, Base64 und hart verdrahtete Zugangsschlüssel
Besondere Aufmerksamkeit galt dem Skript new.ps1. Darin fanden die Forscher Base64-codierte Restic-Befehle und fest eingetragene Umgebungsvariablen, darunter Access-Keys, S3-Passwörter, Pfade zu verschlüsselten Repositorien und weitere Secrets. Dieses Vorgehen ist ein typisches Beispiel für „living off the land“: Angreifer nutzen legitime Admin-Tools, um Sicherheitskontrollen zu umgehen und ihre Aktivitäten im Rauschen normaler Systemoperationen zu verbergen.
Die Analyse der Skripte führte zu einer zentralen Erkenntnis: Die INC-Gruppe scheint dieselbe Restic-Infrastruktur wiederholt in unterschiedlichen Kampagnen einzusetzen. Repositorien werden offenbar nicht unmittelbar nach Abschluss einer Erpressungsaktion gelöscht. Damit verbleiben verschlüsselte Kopien der gestohlenen Daten über einen längeren Zeitraum auf den Systemen der Angreifer.
Fund und Entschlüsselung von Daten aus 12 unabhängigen Angriffen
Diese Hypothese bestätigte sich, als Cyber Centaurs Zugriff auf die Restic-Infrastruktur erlangte. Die Forscher identifizierten verschlüsselte Archive von zwölf voneinander unabhängigen Unternehmen aus den Bereichen Gesundheitswesen, Industrie, Technologie und Services. Keines dieser Unternehmen stand zuvor in einer Beziehung zu Cyber Centaurs; die Vorfälle waren separate Ransomware-Kampagnen der INC-Gruppe.
Den Spezialisten gelang es, die Backups zu entschlüsseln, Kopien der Daten zu sichern und die zuständigen Strafverfolgungsbehörden einzubeziehen, um die betroffenen Organisationen zu identifizieren und das weitere Vorgehen abzustimmen. Der Fall illustriert, dass die oft behauptete „endgültige Vernichtung“ von Daten durch Erpresser in der Praxis nicht immer stattfindet – und dass Datenrettung auch aus der Infrastruktur der Angreifer heraus möglich sein kann.
Taktiken, Techniken und Prozeduren der INC-Ransomware-Gruppe
Im veröffentlichten Bericht beschreibt Cyber Centaurs verschiedene Werkzeuge und Techniken, die den Taktiken, Techniken und Prozeduren (TTPs) moderner Ransomware-Gruppen entsprechen. Dazu gehören unter anderem:
• Spurenverwischung: Einsatz von Log-Wipern sowie Tools zum Deaktivieren von Protokollierung und Antiviren-Schutz, um forensische Analysen zu erschweren.
• Remote-Zugriff: Nutzung legitimer und illegitimer Remote-Desktop- und RMM-Lösungen, um persistente Zugänge in kompromittierten Netzwerken zu etablieren.
• Aufklärung und horizontale Bewegung: Netzwerk-Scanner und Discovery-Werkzeuge, um kritische Systeme, Backup-Server und sensible Datenquellen zu identifizieren.
Zur Detektion solcher Angriffe veröffentlichten die Forscher YARA- und Sigma-Regeln, die speziell auf die Erkennung von Restic (einschließlich umbenannter Binärdateien) sowie auf ungewöhnliche Backup-Vorgänge aus atypischen Verzeichnissen abzielen. Diese Regeln können in SIEM- und EDR-Plattformen eingebunden werden, um verdächtige Aktivitäten frühzeitig zu erkennen.
Sicherheitsimplikationen: Schatten-Backups als fester Bestandteil von Erpressungskampagnen
Der Fall unterstreicht mehrere Entwicklungen, die in aktuellen Branchenanalysen beobachtet werden. Laut dem Verizon Data Breach Investigations Report 2023 sind Ransomware-Vorfälle an fast einem Viertel aller dokumentierten Datenverletzungen beteiligt, während der ENISA Threat Landscape Report Ransomware als eine der anhaltend kritischsten Cyberbedrohungen einstuft. Parallel nimmt die Komplexität der Erpressungsmodelle zu.
Neben dem klassischen Verschlüsseln der Daten setzen Gruppen wie INC verstärkt auf das Anlegen eigener „Schatten-Backups“ in ihrer Cloud-Infrastruktur. Diese Backups dienen nicht nur der Erpressung durch Androhung von Veröffentlichung (Double/Triple Extortion), sondern auch der Wiederverwendung und möglichen Weitervermarktung der Daten. Tools wie Restic, Veeam, Rclone oder ähnliche Backup- und Synchronisationslösungen werden dafür gezielt missbraucht.
Praktische Schutzmaßnahmen für Unternehmen
Für Organisationen ergeben sich daraus mehrere konkrete Handlungsfelder. Entscheidend ist nicht nur das Vorhandensein von Offline- und Offsite-Backups, sondern ein strenger Kontrollrahmen darüber, wer mit welchen Werkzeugen wohin Backups schreiben darf. Ungewöhnliche Sicherungsaktivitäten – etwa nachts, aus untypischen Verzeichnissen wie PerfLogs oder unter neu angelegten Konten – sollten in SIEM/EDR-Systemen als hochwichtige Alarme behandelt werden.
Unternehmen sollten den Zugriff auf Backup- und Admin-Tools stark einschränken, mehrstufige Authentifizierung und das Prinzip der minimalen Rechte (Least Privilege) konsequent umsetzen und Restic sowie vergleichbare Tools in ihre Detektionsregeln aufnehmen. Die regelmäßige Überprüfung neuer YARA- und Sigma-Regeln aus vertrauenswürdigen Quellen und wiederkehrende Tests von Wiederherstellungsszenarien nach einem Ransomware-Angriff sind essenziell, um im Ernstfall handlungsfähig zu bleiben.
Der hier beschriebene INC-Ransomware-Fall zeigt, dass professionelles Incident Response, fundierte Forensik und ein tiefes Verständnis von Angreifer-TTPs nicht nur den Schaden begrenzen, sondern in Ausnahmefällen sogar bereits entführte Daten retten können. Organisationen, die jetzt in robuste Backup-Strategien, detailliertes Monitoring und eine kontinuierliche Verbesserung ihrer Sicherheitsprozesse investieren, erhöhen nicht nur ihre Resilienz gegenüber Ransomware – sie verschaffen sich auch jene Handlungsoptionen, die im entscheidenden Moment über den Fortbestand des Geschäftsbetriebs entscheiden können.
