News

FireCrypt – Erpresser mit DDoS-Funktionalität

Der Erpresserschädling FireCrypt verschlüsselt nicht nur Dateien, sondern versucht jetzt auch, DDoS-Attacken von geringerer Durchschlagskraft durchzuführen. Der erst kürzlich aufgetauchte polymorphe Hybrid wurde von den Forschern aus dem Malware Hunter Team entdeckt und von Lawrence Abrams von Bleeping Computer analysiert.

Gemäß einer Beschreibung auf BleepingComputer.com erstellt der Autor von FireCrypt mit Hilfe des Builders BleedGreen, der es ermöglicht, diese Dateien als DOC- oder PDF-Dokumente zu tarnen, unikale ausführbare Dateien. Beim Start beendet FireCrypt den Task Manager-Prozess und verschlüsselt Dateien 20 verschiedener Typen mit einem 256-AES-Schlüssel, wobei er an das Ergebnis die Erweiterung .firecrypt anhängt. Daraufhin wird dem Opfer die Mitteilung mit der Forderung nach Lösegeld in Höhe von 500 US-Dollar (in Bitcoin) angezeigt.

Nach Angaben der Experten ist diese Mitteilung der Benachrichtigung von Deadly for a Good Purpose zum Verwechseln ähnlich – ein Erpresserschädling, den das Malware Hunter Team im Oktober letzten Jahres aufspürte. Mit diesem Vorgänger teilt sich FireCrypt auch die von den Cybergangstern angegebene Kontakt-E-Mail-Adresse und die Bitcoin-Wallet. Es ist nicht ausgeschlossen, dass FireCrypt einfach eine Version von Deadly for a Good Purpose ist, die unter neuem Namen verbreitet wird.

Das wichtigste Merkmal, das diesen Neuling von anderen Verschlüsselungsschädlingen unterscheidet, ist die zusätzliche DDoS-Funktion. Nachdem er seine Lösegeldforderung gestellt hat, verbindet sich FireCrypt mit einer hartkodierten URL und beginnt gewissen Content abzuladen, der in temporären Dateien gespeichert wird. Laut Bleeping Computer ruft die aktuelle Version von FireCrypt die Adresse pta.gov.pk auf, das offizielle Portal der pakistanischen Telekommunikations-Aufsichtsbehörde. Bleibt diese Aktivität dem Opfer verborgen, überfüllt der Schädling das Verzeichnis %Temp% des infizierten Rechners rasch mit Junk-Dateien von der vorgegebenen Site, wobei die ununterbrochenen Verbindungen zu der Site mit viel gutem Willen als DDoS-Attacke auf niedrigem Niveau bezeichnet werden könnten.

„Die Cyberkriminellen müssten tausende Opfer infizieren, um eine DDoS-Attacke durchführen zu können, die leistungsstark genug ist, um der Website dieser Behörde zum Problem zu werden“, schreibt der Reporter von Bleeping Computer. „Zudem müssten alle Infektionen gleichzeitig erfolgen und die Computer der Opfer müssten mit dem Internet verbunden sein, um an der DDoS-Attacke teilnehmen zu können.“

Abrams meint, dass die Ausstattung von FireCrypt mit einer DDoS-Komponente als Experiment des Autors zu werten ist und dass diese Neuheit kaum für andere Cybergangster von Interesse sein dürfte. „Eine korrekt durchgeführte DDoS-Attacke unter Verwendung von Malware macht ständige Anwesenheit und Verborgenheit erforderlich“, kommentiert der Experte. „Das ist eindeutig nicht mit einer erfolgreichen Erpressungskampagne vereinbar, die einen Anfang und ein Ende beinhaltet sowie das Anzeigen der Lösegeldforderung und die Erwartung der Zahlung. Nur sehr wenige Erpresser legen eine gewisse Persistenz an den Tag, außer vielleicht beim Anzeigen der Lösegeldforderung.“

Auch die Wahrscheinlichkeit, dass die Aktivität der DDoS-Komponente von einem Antiviren-Scanner erkannt wird, verringert die Erfolgschancen von FireCrypt in seiner Funktion als DDoS-Instrument. „Die Tatsache, dass auf seinem Computer Dateien verschlüsselt werden, bringt das Opfer dazu, sein System auf Malware zu scannen, und so wird die persistente DDoS-Komponente entdeckt“, erklärt Abrams. „Ich glaube nicht, dass dies eine zweckmäßige Methode zur Durchführung von Attacken ist, die eine ununterbrochene Anwesenheit im System erforderlich machen.“

Quelle: Threatpost

FireCrypt – Erpresser mit DDoS-Funktionalität

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

  1. Lujs Cordjes

    Wow danke, ich finde es sehr informationsreich! Pozdro Lujs

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach