CryptoLocker-Konkurrent nicht frei von Fehlern

Das Erscheinen des Verschlüsselungsblockers CryptoLocker hat die Karten für Cybererpresser zweifellos neu gemischt. Kommt das Opfer den Lösegeldforderungen nicht nach, so droht ihm der Verlust wichtiger Dateien, und Berichten zufolge verdienen kriminelle Banden, die dieses leistungsstarke Instrument einsetzen, monatlich hunderttausende von Dollar. Es ist nur zu natürlich, dass ein solches Schema es in kriminellen Kreisen schnell zu großer Popularität bringt und eine Unmenge von Nachahmern auf den Plan ruft.

Ende Mai veröffentlichten die Forscher des kalifornischen IT-Unternehmens Bromium eine detaillierte Analyse eines der neusten Cryptolocker, den sie in Übereinstimmung mit Symantec CryptoDefense nennen. Symantec entdeckte diese Bedrohung erstmals Ende Februar und einen Monat später enthielt die Datenbank des Unternehmens bereits mehr als 11.000 individuelle Detektionen aus 100 Ländern, von denen mehr als die Hälfte aus den USA stammten. Symantec zitierend, merkt Vadim Kotov von Bromium an, dass die reale Zahl der Infektionen mit CryptoDefense zum gegenwärtigen Zeitpunkt höchstwahrscheinlich gestiegen ist. Innerhalb des ersten Monats unter Beobachtung brachte dieser Schädling seinen Herren um die 34.000 Dollar ein. „Zum Vergleich: CryptoLocker hat bereits Millionen „verdient“, schreibt der Experte. – „Die Idee der Krypto-Erpressung hat die cyberkriminellen Gruppen ganz klar durchdrungen, und wir erwarten das Erscheinen neuer, gleichartiger Schädlinge.“

Die frühen Samples, die bei Symantec landeten, wurden in Form von Anhängen an Spam-Mails verbreitet, im Fall von Bromium waren es Drive-by-Downloads über ein Java-Exploit. Dabei wurde der Schädling etappenweise mit Hilfe von Droppern geladen, und zum Abschluss erhielt das Opfer eine Mitteilung mit der Forderung nach Lösegeldzahlung innerhalb einer bestimmten Frist, nach Ablauf derer die Summe steigt. Im Fall des Nicht-Bezahlens drohten die Gangster, den Dechiffrierungsschlüssel unwiederbringlich zu zerstören.

Im Rahmen eines Vergleichs von CryptoLocker und CryptoDefense betrachtete Kotov in beiden Schemata einige Ähnlichkeiten, insbesondere die Bezahlweise (Bitcoin), die Verschlüsselung unter Verwendung von RSA-2048 sowie eine Reihe von gleichen Erweiterungen in der Liste der Geisel-Dateien. Der neu erschiene Blocker sucht wie sein Vorgänger nach Office-Dokumenten, Fotografien und nach Videomaterial, allerding chiffriert er zusätzlich auch Quellcodes und SSL-Zertifikate, Archive hingegen ignoriert er. Zur Bezahlung des Lösegeldes führt CryptoDefense das Opfer auf eine eigene mehrsprachige Website in dem anonymen Netzwerk Tor.

Die von Bromium durchgeführte Analyse hat zudem einen fatalen Fehler in der Umsetzung der kryptografischen Funktion von CryptoDefense bestätigt, den bereits Symantec bemerkt hatte. Aufgrund dieses Schnitzers erhielten die Erpressungsopfer die Chance, ihre Dateien zu dechiffrieren, da eine Kopie des Dechiffrierungsschlüssels auf dem Computer gespeichert wurde, wenn auch in verschlüsselter Form. Die Sache ist die, dass CryptoDefense sowie auch CryptoLocker ein Schlüsselpaar generieren, das die Infrastruktur von Microsoft bzw. API Windows benutzt. Der private Schlüssel für die Unversehrtheit wird an den Steuerungsserver geschickt, allerdings haben die Autoren von CryptoDefense dabei außer Acht gelassen, dass bei der Verwendung von kryptografischen Funktionen von Microsoft automatisch eine Kopie des Schlüssels in einem bestimmten Ordner auf dem Rechner gespeichert wird.

„Es handelt sich um einen ernsthaften Programmfehler“, kommentiert Rahul Kashyap, Chief Security Architect und Head of Research bei Bromium. „Wer weiß, wovon die Rede ist, wird verstehen, dass der private Schlüssel auf der Festplatte verbleibt.“ Der Experte ist davon überzeugt, dass dieser Bug in den neueren Versionen des Schädlings behoben sein wird, zumal seine Existenz schnell bekannt wurde. „Wenn die Opfer fortgeschrittene Anwender sind, die sich mit Computertechnologie und Verschlüsselung auskennen, kommen sie ohne fremde Hilfe an den Schlüssel.“. Leider hatte Kashyap nur allzu recht: Nach der Veröffentlichung von Symantec, in der der Speicherort des Schlüssels im System angegeben wurde, beseitigten die Autoren von CryptoDefense den Fehler und in den folgenden Versionen war diese Lücke geschlossen.

Zwischenzeitlich haben die Experten einen Weg gefunden, die von CryptoLocker eroberten Dateien wiederherzustellen, indem sie sich Standardfunktionen von Windows zunutze machen – die Schattenkopie und System Restore. Für CryptoDefense kommt diese Methode laut Kotov nicht in Frage. „Der Schädling gibt Acht, dass die Dateien nicht mehr durch Systemfunktionen wiederhergestellt werden können“, erklärt der Experte, „er löscht Schattenkopien und deaktiviert die Systemwiederherstellung.“

Quelle: Threatpost

Bromium

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.