CTB-Locker/Critroni marodiert über Websites

Das Erpresser-Programm CTB-Locker, alias Critroni, ist nach monatelanger Lethargie zu neuem Leben erwacht und richtet sich nun gegen ein neues Ziel: Er greift jetzt Websites an. Diese Variante wurde auf den Namen CTB-Locker for Websites getauft; das aktualisierte Verschlüsselungs-Programm chiffriert den Inhalt von Websites und fordert 0,4 Bitcoin (425 Dollar) für den Zugriff auf den Dechiffrierungsschlüssel.

In seiner Warnmitteilung über das Erscheinen von CTB-Locker for Websites weist Lawrence Abrams, Spezialist für Internet-Bedrohungen und Gründer von BleepingComputer, darauf hin, dass die Betreiber dieses Schädlings Server hacken, auf denen Websites platziert sind, und die Datei index.php oder index.html austauschen.

„Die neue index.php wird zur Verschlüsselung der Daten auf der Website mit einem AES-256-Schlüssel benutzt sowie für die Anzeige einer neuen Homepage, auf der darüber informiert wird, was mit den Dateien passiert ist und wie sie wieder freigekauft werden können“, schreibt Abrams in seinem Blogeintrag.

CTB-Locker, der im Jahr 2014 weite Verbreitung fand, ist nicht so einträglich wie TeslaCrypt, CryptoWall oder Locky. Die Variante CTB-Locker for Websites wurde von dem Forscher entdeckt, der unter dem Pseudonym Benkow Wokned bekannt ist; der aktualisierte Schädling hat nach Einschätzungen von Abrams bereits mehr als hundert Seiten infiziert. Trotzdem wird diese Spielart von CTB-Locker nach Meinung des Experten kaum so effektiv sein wie die Windows-Version, und zwar aus dem einfachen Grund, dass von Websites Sicherheitskopien erstellt werden und sie daher problemlos ohne Lösegeldzahlung aus dem Backup wiederhergestellt werden können.

Welche Sicherheitslücke CTB-Locker for Websites ausnutzt, ist bisher noch unklar. Abrams vermutet, dass die dahinterstehenden Cyberkriminellen verwundbare WordPress-Sites angreifen. In ihren Mitteilungen, die sie auf der infizierten Website anzeigen, heißt es: „Ihre Skripte, Dokumente, Fotos, Datenbanken und andere wichtige Dateien wurden mit Hilfe des starken kryptografischen Algorithmus AES-256 und eines einzigartigen Schlüssels, der eigens für diese Site generiert wurde, chiffriert.“ Bemerkenswert ist, dass in den Instruktionen zur Lösegeldbezahlung ein Link auf den Rat des FBI enthalten ist, „das Lösegeld einfach zu bezahlen„.

Zu Testzwecken darf das Opfer sich zwei Dateien aussuchen, die dann kostenlos dechiffriert werden. Die Erpresser bieten den Betroffenen zudem die Möglichkeit, sich mit ihnen via Live-Chat in Verbindung zu setzen.

Mit Verweis auf die Untersuchung von Benkow Wokned führt Abrams Daten über die Kommunikation von CTB-Locker for Websites an: Für den Austausch mit den C&C-Servern und das Versenden von Daten verwendet der Schädling die Funktion jQuery.post(). Zum gegenwärtigen Zeitpunkt wurden drei Steuerungsserver von CTB-Locker for Websites gefunden, und zwar in den Domains erdeni[.]ru, studiogreystar[.]com und a1hose[.]com.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.