FireCrypt – Erpresser mit DDoS-Funktionalität

Der Erpresserschädling FireCrypt verschlüsselt nicht nur Dateien, sondern versucht jetzt auch, DDoS-Attacken von geringerer Durchschlagskraft durchzuführen. Der erst kürzlich aufgetauchte polymorphe Hybrid wurde von den Forschern aus dem Malware Hunter Team entdeckt und von Lawrence Abrams von Bleeping Computer analysiert.

Gemäß einer Beschreibung auf BleepingComputer.com erstellt der Autor von FireCrypt mit Hilfe des Builders BleedGreen, der es ermöglicht, diese Dateien als DOC- oder PDF-Dokumente zu tarnen, unikale ausführbare Dateien. Beim Start beendet FireCrypt den Task Manager-Prozess und verschlüsselt Dateien 20 verschiedener Typen mit einem 256-AES-Schlüssel, wobei er an das Ergebnis die Erweiterung .firecrypt anhängt. Daraufhin wird dem Opfer die Mitteilung mit der Forderung nach Lösegeld in Höhe von 500 US-Dollar (in Bitcoin) angezeigt.

Nach Angaben der Experten ist diese Mitteilung der Benachrichtigung von Deadly for a Good Purpose zum Verwechseln ähnlich – ein Erpresserschädling, den das Malware Hunter Team im Oktober letzten Jahres aufspürte. Mit diesem Vorgänger teilt sich FireCrypt auch die von den Cybergangstern angegebene Kontakt-E-Mail-Adresse und die Bitcoin-Wallet. Es ist nicht ausgeschlossen, dass FireCrypt einfach eine Version von Deadly for a Good Purpose ist, die unter neuem Namen verbreitet wird.

Das wichtigste Merkmal, das diesen Neuling von anderen Verschlüsselungsschädlingen unterscheidet, ist die zusätzliche DDoS-Funktion. Nachdem er seine Lösegeldforderung gestellt hat, verbindet sich FireCrypt mit einer hartkodierten URL und beginnt gewissen Content abzuladen, der in temporären Dateien gespeichert wird. Laut Bleeping Computer ruft die aktuelle Version von FireCrypt die Adresse pta.gov.pk auf, das offizielle Portal der pakistanischen Telekommunikations-Aufsichtsbehörde. Bleibt diese Aktivität dem Opfer verborgen, überfüllt der Schädling das Verzeichnis %Temp% des infizierten Rechners rasch mit Junk-Dateien von der vorgegebenen Site, wobei die ununterbrochenen Verbindungen zu der Site mit viel gutem Willen als DDoS-Attacke auf niedrigem Niveau bezeichnet werden könnten.

„Die Cyberkriminellen müssten tausende Opfer infizieren, um eine DDoS-Attacke durchführen zu können, die leistungsstark genug ist, um der Website dieser Behörde zum Problem zu werden“, schreibt der Reporter von Bleeping Computer. „Zudem müssten alle Infektionen gleichzeitig erfolgen und die Computer der Opfer müssten mit dem Internet verbunden sein, um an der DDoS-Attacke teilnehmen zu können.“

Abrams meint, dass die Ausstattung von FireCrypt mit einer DDoS-Komponente als Experiment des Autors zu werten ist und dass diese Neuheit kaum für andere Cybergangster von Interesse sein dürfte. „Eine korrekt durchgeführte DDoS-Attacke unter Verwendung von Malware macht ständige Anwesenheit und Verborgenheit erforderlich“, kommentiert der Experte. „Das ist eindeutig nicht mit einer erfolgreichen Erpressungskampagne vereinbar, die einen Anfang und ein Ende beinhaltet sowie das Anzeigen der Lösegeldforderung und die Erwartung der Zahlung. Nur sehr wenige Erpresser legen eine gewisse Persistenz an den Tag, außer vielleicht beim Anzeigen der Lösegeldforderung.“

Auch die Wahrscheinlichkeit, dass die Aktivität der DDoS-Komponente von einem Antiviren-Scanner erkannt wird, verringert die Erfolgschancen von FireCrypt in seiner Funktion als DDoS-Instrument. „Die Tatsache, dass auf seinem Computer Dateien verschlüsselt werden, bringt das Opfer dazu, sein System auf Malware zu scannen, und so wird die persistente DDoS-Komponente entdeckt“, erklärt Abrams. „Ich glaube nicht, dass dies eine zweckmäßige Methode zur Durchführung von Attacken ist, die eine ununterbrochene Anwesenheit im System erforderlich machen.“

Quelle: Threatpost

Ähnliche Beiträge

Es gibt 1 Kommentar
  1. Lujs Cordjes

    Wow danke, ich finde es sehr informationsreich! Pozdro Lujs

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.