CryptXXX-Update: Ransomware jetzt mit noch größerem Potential

Die Ransomware CryptXXX hat ein wichtiges Update erhalten, das dem Schädling in punkto Rentabilität die Führungsrolle vor seinen Konkurrenten beschert. Bisher galt Locky auf diesem Gebiet als erfolgreichstes kriminelles Projekt.

Die Forscher von Proofpoint berichten, dass die Version 3.100 von CryptXXX am 26. Mai herausgegeben wurde und der Schädling nun mit dem neuen Modul StillerX ausgestattet ist, das Zugangsdaten aus verschiedenen Anwendungen stiehlt, von Online-Kasino-Clients bis zu Account-Informationen für das Cisco VPN.

„Der Neuling sieht genauso aus wie CryptXXX“, erklärte Kevin Epstein, Vice President der Abteilung Threat Operations bei Proofpoint, im Laufe eines Interviews mit Threatpost.. – „Da TelsaCrypt jetzt im Abseits ist, scheint Locky nun einen Konkurrenten bekommen zu haben, der in der Lage ist, ihm bezüglich der Zahl der Infektionen und der Aggressivität der Ausbreitung den Rang abzulaufen.“

Nach Worten von Epstein ist die frühere Gruppierung für die Verbreitung des neuen CryptXXX verantwortlich, die schon seit langem erfolgreich mit dem Exploit-Pack Angler arbeitet. „Es ist zu erwarten, dass das Angriffsfeld von CryptXXX wesentlich breiter werden wird“, warnt der Experte. „Nach vorsichtigen Einschätzungen können sie 50.000 Infektionen mit CryptXXX innerhalb von 24 Stunden garantieren, und die Einnahmen der Erpresser liegen zwischen 100.000 und 200.000 Dollar pro Woche.

Bezüglich der Verbreitungsmethode unterscheidet sich CryptXXX von Locky: Letztgenannter wird häufig über Spam-Versendungen vom Botnetz Dridex in Umlauf gebracht. Die Betreiber von CryptXXX bevorzugen hingegen Redirects auf Seiten mit Exploits.

CryptXXX 3.100 sucht die Zieldateien nicht nur auf lokalen und externen Festplatten, sondern scannt auch den Gateway-Port 445 (wird für die Client-Server-Verbindungen in lokalen Netzen über das SMB-Protokoll verwendet), um „gemeinsame Ressourcen im Netz zu suchen, die Dateien in jedem gemeinsam benutzten Verzeichnis zu zählen und sie nacheinander zu verschlüsseln“, wie es in einem Blogeintrag auf der Website von Proofpoint heißt.

Mit der Version 3.100 wurde auch das Internetportal aktualisiert, das die Cyberkriminellen benutzen, um die Zahlungen zu steuern. Die Veränderungen betrafen im Wesentlichen das GUI-Interface und die Funktionen, die mit der Blockierung des Bildschirms zusammenhängen. „CryptXXX sticht durch ein hohes Tempo der Entwicklungszyklen hervor“, bestätigte Epstein.

Diese Ransomware erschien erstmals am 15. April auf den Radaren von Proofpoint. Ab diesem Zeitpunkt demonstrierte der Schädling eine stetige Zunahme der Population. Die Expansion wurde eingedämmt, nachdem Kaspersky Lab am 26. April seinem Tool RannohDecryptor einen Adress-Decodierer hinzugefügt hatte.

Gemäß der Beschreibung des Tools RannohDecryptor auf der Website des IT-Sicherheitsunternehmens funktioniert das Tool erfolgreich bei den ersten zwei Versionen von CryptXXX, die dritte erkennt es, doch es dechiffriert die Dateien nicht. Daraus folgt, dass es bisher im Fall von CryptXXX 3.100 noch keine Hilfe leisten kann.

Dieses Verschlüsselungsprogramm ist auch deshalb besonders gefährlich, weil es die Dateien nicht nur verschlüsselt, (und dabei die Erweiterung .crypt hinzufügt), sondern sie auch kopiert und damit das Risiko des Identitätsdiebstahls erhöht. Außerdem kann CryptXXX auch Bitcoins stehlen, die auf der lokalen Festplatte gespeichert sind.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.