Cry benutzt UDP, Imgur und Google Maps

Forscher warnen vor einem neuen Ransomware-Stamm. Innerhalb von weniger als zwei Wochen wurden 8.000 Infektionsfälle mit diesem Windows-Schädling registriert, der im Namen einer nicht existierenden Regierungsorganisation verbreitet wird. Dem Namen dieser Organisation nach zu urteilen, Central Security Treatment Organization nämlich, handelt es sich dabei anscheinend um irgendeine Organisation zur Ermittlung von Cybervorfällen, zu deren Aufgaben offensichtlich auch Hilfe beim Entschlüsseln von gekaperten Dateien gehört – nicht umsonst, wie sich versteht.

Erstmals entdeckt wurde der Schädling CryLocker, alias Cry (nach der Erweiterung, die er an die verschlüsselten Dateien hängt), alias CSTO (Abkürzung für die von den Cybergangstern erfundene Organisation) von dem unter dem Nickname MalwareHunterTeam bekannten IT-Sicherheitsforscher. Der neue Erpresserschädling sticht insbesondere dadurch hervor, dass er das Protokoll UDP für den Versand der Daten über ein infiziertes System an den C&C-Server verwendet. CryLocker speichert diese Informationen auch auf allgemein zugänglichen Sites wie Imgur und ist in der Lage, den ungefähren Standort des Opfers mit Hilfe von Google Maps zu bestimmen.

Das Team von MalwareHunterTeam wurde von Daniel Gallagher und Lawrence Abrams bei der Analyse der Ransomware unterstützt. Die vorläufigen Untersuchungsergebnisse fasste Abrams in einem seiner Blogeinträge auf BleepingComputer.com zusammen, wobei er unterstrich, dass die Analyse bisher nicht abgeschlossen sei und viele Details bisher noch unklar blieben. Zum Zeitpunkt der Veröffentlichung war beispielsweise die Verbreitungsmethode von CryLocker noch unbekannt, inzwischen hat Lawrence seinen Blog allerdings aktualisiert: Wie es scheint, wurde für die Verteilung des neuen Erpresserschädlings ein zweitklassiges Exploit-Pack mobilisiert. Unklar ist bisher auch, ob man die Dateien zurückerhalten kann, ohne ein Lösegeld zu zahlen oder nicht.

Gegenüber den Journalisten von Threatpost erklärte Abrams, dass die Zahl der Opfer zu dem Zeitpunkt, als die Analysearbeiten von CryLocker am 2. September zusammen mit MalwareHunterTeam aufgenommen wurden, bei etwa 3.200 lag. Innerhalb von zwei Tagen war diese Zahl auf 6.800 gestiegen und am 5. September betrug sie bereits 8.000. Die neue Ransomware befindet sich allem Anschein nach noch im Entwicklungsstadium: Am 6. September entdeckte Gallagher ein neues Sample.

Wie viele andere Erpresserschädlinge auch erstellt CryLocker auf dem Computer des Opfers zwei Dateien mit Lösegeldforderungen – Recovery_[willkürliche_Ziffern_].html und !Recovery_[willkürliche_Ziffern].txtencrypts. Für die Dechiffrierung verlangt er eine „Provision“ für die CSTO in Höhe von 625 Dollar. Die Website, die für die Abwicklung der Zahlung erstellt wurde, befindet sich im anonymen Netzwerk Tor und erinnert in einigen Details an FBI- und CIA-Insignien.

csto

Die Informationen über das Opfer (Windows-Version, Computername, Prozessortyp) verschickt der Schädling an über 4.000 verschiedene IPs, von denen eine die Adresse des C&C ist. Abrams vermutet, dass dieser Trick von den Cyberkriminellen eingesetzt wird, um den tatsächlichen Standort des Steuerungsservers geheim zu halten und damit seine Abschaltung zu verhindern. Eine ähnliche Tarnung setzte auch Cerber ein. Im Mai entdeckten die Forscher von Invincea eine Spielart dieses Schädlings, die in der Lage war, einen beeindruckenden Strom von UDP-Paketen im Subnetz zu generieren (auf Port 6892). Wenn die Cyberkriminellen die IP-Adresse der Abfragequelle austauschen, können sie den Antwort-Traffic auf ein ausgewähltes Ziel umleiten und sogar eine DDoS-Situation verursachen.

CryLocker nutzt Fotoalben auf Imgur als Repositorium für die Daten der Opfer und hinterlässt sie dort in Form von png-Dateien. „Nach dem erfolgreichen Laden einer Datei gibt Imgur einen eindeutigen Namen zurück“, schreibt Abrams. „Dieser Dateiname wird daraufhin (nicht immer) an alle 4096 IP-Adressen weitergegeben, um den C&C-Server darüber zu informieren, dass ein neues Opfer infiziert wurde.“

Die Analyse hat zudem ergeben, dass CryLocker Google Maps APIs aufruft, um den Service Set Identifier (SSID) der Pakete zu bestimmen, die aus den nächstgelegenen drahtlosen Netzwerken gesendet wurden. Eine Liste dieser Netze mit ihren SSID erhält der Schädling bei Bedarf mit Hilfe der Windows-Funktion WlanGetNetworkBssList. Nachdem er alle SSID abgefragt hat, die auf der infizierten Maschine sichtbar sind, kann CryLocker mit Hilfe von Google Maps herausfinden, wo sich der Nutzer ungefähr befindet. Diese Information ist zweifellos wertvoll, doch was genau der Erpresser damit zu tun beabsichtigt, ist bisher noch unklar. Abrams ist allerdings davon überzeugt, dass die Präsentation solcher Daten dazu geeignet ist, dem Opfer einen noch größeren Schrecken einzujagen und es somit dazu zu bringen, die geforderte Summe zu zahlen.

GegenüberThreatpost äußerste der Experte die Vermutung, dass die Hintermänner von CryLocker bereits Ende August damit begonnen haben, den Schädling zu testen. Zumindest probierte der Entwickler von CryLocker am 25. August den Upload von png-Dateien aus, wobei er nur einen String verwendete – LOLWTFAMIDOINGHERE („Was zum Teufel mache ich hier?“).

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.