Neuer günstiger RaaS-Schädling gefunden

Die Forscher von Recorded Future haben eine neue Variante des Erpresserschädlings Karmen entdeckt, die über das Modell RaaS verbreitet wird. Auf diese Weise eröffnet sich jedem Interessierten, selbst einem absoluten Neuling auf diesem Gebiet, die Welt der Cyberkriminalität – er muss lediglich einen Account registrieren und kann sich dann seine eigene Erpresser-Kampagne auf den Leib schneidern.

Die Ransomware Karmen kostet 175 Dollar und die Cybererpresser können in der Folge die Höhe des Lösegeldes und die Zahlungsfrist selbst festlegen und zwischen zahlreichen Möglichkeiten auswählen, wie die Opfer mit den Koordinatoren der Kampagne kommunizieren sollen. Die RaaS-Infrastruktur umfasst auch ein Dashboard, mit dem die Anzahl der Kunden und die Gewinnhöhe verfolgt werden kann. „Karmen wird als separate Variante des Erpresserprogramms verkauft; man muss nur einmalig für seine Nutzung bezahlen und dabei zahlt der Organisator der Kampagne dem RaaS-Provider keine Kommission, sondern behält 100% des Gewinns für sich“, schreibt Recorded Future. Die Ransomware ist als Vollversion oder als abgespeckte Version verfügbar; die abgespeckte Version kann keine Sandbox erkennen und ist daher sehr viel leichter.

Bei Recorded Future stieß man erstmals am 4. März auf Karmen – die Ransomware wurde nach dem Schema RaaS einem Hacker-Untergrundforum von einem russischsprachigen Cyberverbrecher mit dem Nicknamen DevBitox oder Dereck1 angeboten. Darüber berichteten die Experten von Recorded Future, Diana Granger und Andrey Barysevič, in einem Artikel über die Analyse des Schädlings.

Über DevBitox ist so gut wie gar nichts bekannt, bis auf die Tatsache, dass er bis zu dem Zeitpunkt aktiv auf der Suche nach Kunden war, denen er Hackerdienstleistungen anbot. Höchstwahrscheinlich ist Karmen das erste kommerzielle Projekt des Hackers.

Karmen basiert auf einem offenen Ransomware-Projekt mit der Bezeichnung Hidden Tear, dessen Code im August 2015 zu Aufklärungszwecken von dem türkischen Forscher Utku Sen veröffentlicht wurde. Seither ist eine Vielzahl von Variationen dieses Schädlings erschienen.

Die ersten Infektionsfälle mit Karmen wurden im Dezember 2016 registriert, die Opfer waren Nutzer aus Deutschland und den USA. Zur Verschlüsselung der Dateien auf den infizierten Computern verwendet Karmen den Verschlüsselungsstandard AES-256.

Karmen (oder Hidden Tear) kann mit Hilfe eines kostenlosen Tools von der Website NoMoreRansom.org vom Computer entfernt werden. Allerdings ist es laut Angaben der Forscher „derzeit nicht möglich, bereits verschlüsselte Dateien wiederherzustellen, ohne das Lösegeld zu zahlen.“

Karmen weist einige Besonderheiten auf. Eine der Funktionen ermöglicht beispielsweise das automatische Löschen eines Decodierers, wenn auf dem Computer des Opfers eine Sandbox oder Analyse-Software installiert sind. Laut Informationen aus dem Darkweb existieren 20 Kopien von Karmen, alle werden von dem Hacker DevBitox angeboten; nur fünf davon stehen derzeit zum Verkauf.

„Um die erforderliche Support- und Service-Qualität gewährleisten zu können, begrenzen die Entwickler die an die Kunden zu verkaufende Anzahl der Kopien häufig“, meinen die Forscher.

Zum gegenwärtigen Zeitpunkt ist weder etwas über die Verbreitungskanäle des Schädlings noch über die Anzahl der Opfer bekannt.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.