Nuclear für Verbreitung von Cryptowall 4.0 in Stellung gebracht

Die neuste Version des Verschlüsselungsprogramms Cryptowall wird nun auch über Exploit-Packs verbreitet. Am vergangenen Wochenende entdeckten die Forscher vom SANS Internet Storm Center, dass die Betreiber des Exploit-Packs Nuclear, die ihre Domain bei BizCN registriert haben, ihrer Payload-Liste eine weitere Position hinzugefügt haben.

In einem am vergangenen Dienstag veröffentlichten Blog-Eintrag weist der IT-Sicherheitsexperte von Rackspace und ständiger Autor vom ISC SANS, Brad Duncan, darauf hin, dass Cryptowall 4.0 noch bis vor kurzem hauptsächlich über E-Mail-Anhänge verbreitet wurde. Die Verwendung eines Exploit-Packs zu diesem Zweck registriert der Forscher mit diesem Fall zum ersten Mal.

„Die Verbreitung der Version 4.0 im Austausch gegen CryptoWall 3.0 war absolut vorhersehbar“, erklärte Duncan gegenüber den Journalisten von Threatpost. „Das Gleiche geschah im Jahr 2014, als für den ursprünglichen CryptoWall die Version CryptoWall 2.0 herauskam. Die Aktualisierung war keine einmalige Aktion, sie begann mit Schadspam und darauf folgte der Einsatz von Exploit-Packs. Die Verbreiter von CryptoWall 4.0 benutzen nun auch Exploit-Sammlungen, doch das bedeutet nicht, dass sie alle gleichzeitig die neue Version integrieren werden, sondern nach und nach, erst ein Akteur, dann ein zweiter und irgendwann laden sie alle nur noch die neue Version.“

Die Verbrechergruppe, die die Dienste des chinesischen Registrators in Anspruch nimmt, hat vor kurzem die IP-Adresse für Gateway-Domains geändert, die als Vermittlungsserver zwischen den kompromittierten Redirect-Sites und den Servern dienen, auf denen Nuclear beherbergt wird. „Der Gateway-Server erhält Informationen über das Betriebssystem und den Browsertyp aus dem Useragent-String im HTTP-Header der Anfrage, die von einem potentiellen Opfer gesendet wurde“, erklärt Duncan das Schema der Exploit-Attacke. „Von diesen Daten hängt die Antwort des Gateway-Servers ab. Wenn das Betriebssystem nicht Windows ist, gibt das BizCN-Gateway die Fehlermeldung 404 aus (da es keinen Sinn ergibt, Ressourcen auf einen Host zu verschwenden, der keine lukrativen Sicherheitslücken hat). Wenn im Useragent-String Windows angezeigt wird, so antwortet der Server mit 200 OK und lenkt den Traffic auf den Server mit den Exploits.“

In seinem Blogeintrag auf der Website des ISC SANS führt der Forscher Beispiele für URL-Schablonen an, die im Traffic auf den BizCN-Gateways gefunden wurden, sowie andere Kompromittierungsindikatoren. Duncan äußerte zudem die Vermutung, dass die Betreiber von Cryptowall 4.0 sich nicht auf Nuclear beschränken und auch andere Exploit-Packs ausprobieren werden, insbesondere Angler. Spam bleibt nebenbei höchstwahrscheinlich die alternative Methode zur Verbreitung des Schädlings. „Sie werden nicht auf Spam verzichten“, prophezeit der Experte. „Die Verteilung von CryptoWall 4.0 über Exploit-Packs wird an Fahrt aufnehmen, aber auch die schädlichen Spam-Versendungen werden nicht eingestellt. Wir beobachten lediglich einen Austausch der Version 3 gegen eine neuere Version. Einige kriminelle Gruppen verbreiten die Version 4.0 über Spam, andere nutzen Exploit-Packs.“

Ducan wies zudem auf einige Besonderheiten hin, die die neue Version des erpresserischen Verschlüsselungsprogramms von der vorangegangenen unterscheiden. Insbesondere wird der Name des Schädlings in der Mitteilung mit der Lösegeldforderung als Cryptowall bezeichnet, ohne Versionsnummer. CryptoWall 4.0 registriert außerdem nicht die IP-Adresse des Opfers, so wie es früher der Fall war: „Der Netzwerktraffic von CryptoWall 4.0 ist fast identisch mit dem, den wir im Fall von 3.0 beobachteten, mit der Ausnahme, dass die IP-Adresse nicht überprüft wird. Zum gegenwärtigen Zeitpunkt gelten die Snort-Signaturen, die wir bei der Verbindung von CryptoWall 3.0 mit den Steuerungszentren erhalten haben, auch für die Version 4.0.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.