zurück zur Übersicht

Liebesgrüße aus dem DarkNet

IMG_0063_b

„Wichtige Daten Ihres Computers wurden mit einem einzigartigen öffentlichen RSA-2048-Key verschlüsselt. Um diese zu entschlüsseln, benötigen Sie einen privaten Schlüssel. Dieser befindet sich auf einem geheimen Server im Internet. Sie haben 48h Zeit, den Betrag von USD 800,- in Bitcoin (1,83 BTC) zu überweisen und Zugang zu diesem Schlüssel zu erhalten. Danach wird der Schlüssel automatisch gelöscht und niemand kann Ihre Daten wiederherstellen.“

 

So oder ähnlich lautet der Text im PopUp-Fenster, das sich öffnet, nachdem die Crypto-Ransomware den Rechner befallen und die Daten verschlüsselt hat.  Laut Schätzungen der Cyber Threat Alliance konnten Hacker mit Cryptowall 3.0 allein in diesem Jahr 325 Millionen US-Dollar einnehmen. Mit solcher Finanzkraft im Rücken ist es kein Wunder, dass die am Mittwoch vergangener Woche erstmals von BitDefender™ aufgespürte Version 4.0 von Cryptowall deutlich an Professionalität zugelegt hat. Ausgefuchste Verschlüsselungstaktiken, verbesserte Tarnung und stark eingeschränkte Risiken der Nachverfolgung machen die 4. Iteration gefährlicher als je zuvor und zeigen, dass Hackergruppen sich wie Softwarefirmen organisieren; ergo Malware wie SW-Produkte entwickelt und getestet wird. Zwar ist der Hauptangriffsvektor noch immer ein E-Mail-Attachement mit einer Downloader-Malware, welche die Verbindung zu einer URL aufbaut, die die Ransomware hostet, aber die Gefahr,  von AV-programmen entdeckt zu werden ist sehr niedrig geworden. Cryptowall 4.0 verschlüsselt nicht mehr nur die Dateiinhalte, sondern auch die Dateinamen, so dass es nahezu unmöglich ist, zu erkennen, was alles verschlüsselt wurde. Die Verschlüsselung erfolgt mit RSA-2048 aus der Windows Crypro Library; die C&C-Kommunikation ist mit RC4 geschützt. Wie heute auf der Blackhat Europe 2015 von Drs. Balduzzi und Ciancaglini vorgestellt, lag die bislang größte Gefahr für Hacker, entdeckt zu werden, in der Nachvollziehbarkeit der Finanztransaktion. Dieser wird nun dadurch begegnet, dass auf dem Opfer-PC ein Tor-Browser installiert wird und die Überweisung in Bitcoins erfolgt. Der Key-Server wird im Darknet gehostet, dessen Inhalt nicht von Suchmaschinen indexiert ist. Durch mehrfachen Umtausch mit Lightcoins (das Silber unter den Cryptowährungen) vor Wechsel in klassische Währungen ist die Nachverfolgung praktisch ausgehebelt.

Selbst bisherige Präventivmaßnahmen, wie regelmäßigen System-Backup greifen nicht unbedingt, da schon vorab Datenbanken on-the-fly verschlüsselt werden können, so dass auch die Backups ohne den privaten Schlüssel u.U. verloren sind. Bisherige Varianten von Ransomware waren oft harmlos und konnten u.a. daran erkannt werden, dass die MFT manipuliert wurde, aber die Daten noch auf der Disk lagen oder, dass CreateDesktop aufgerufen wurde, um ein persistentes Fenster anzuzeigen ohne jedoch die Daten zu verändern. Auch bei Cryptowall 4.0 sind die Verhaltensmuster zur Version 3.0 ähnlich:

  • Laden der Crypto-Library c:\windows\syswow64\cryptbase
  • Prüfung verschiedener Dateinamen
  • Detektion virtueller Umgebungen
  • Suche nach Files in mounted Drives
  • Iteration über eine große Anzahl von Dateien und Verzeichnissen

Die Sicherheitsexperten von IT-CUBE SYSTEMS gehen davon aus, dass hochentwickelte Sandbox-Lösungen, wie LastLine™, innerhalb der nächsten Wochen eine wirksame Erkennung vorstellen werden. Damit können sowohl Enterprises als auch Kunden unseres Managed Security Services vor Ransomware geschützt werden. Gleichwohl ist zu erwarten, dass im privaten Bereich ein massiver Anstieg der Infektionen registriert werden wird. Allen Nutzern ist dringend geraten, Mailanhänge von unbekannten oder suspekt erscheinenden Absendern ungeöffnet zu lassen und die Nachricht zu löschen.

Schreibe einen Kommentar