Tox-Autor zieht Schlussstrich und verkauft

Als der Autor der Erpressersoftware Locker sich öffentlich entschuldigte und den Opfern die Schlüssel zur Wiederherstellung der blockierten Informationen gab, wurde dieser Schritt als ein für Cyberkriminelle untypischer Sinneswandel aufgefasst. Nun hat ein weiterer Virenautor beschlossen, der Sache ein Ende zu bereiten und auszusteigen, aber nicht ohne doch noch ein bisschen Geld herauszuschlagen.

In einem Posting auf Pastebin erklärte der Autor von Tox, einem Ransomware-as-a-Service-Tool, das erst Ende letzten Monats auf der Bildfläche erschienen war, dass ihm entgegen seiner Absicht, sich „ruhig und bedeckt“ zu verhalten, die Dinge schnell über den Kopf gewachsen seien. Jetzt hat der Virenschreiber sein Machwerk zum Verkauf angeboten, und wenn sich kein Käufer findet, beabsichtigt er, einfach die Schlüssel herauszugeben und alle gekaperten Dateien zu entschlüsseln.

Das ist ein recht plötzlicher Sinneswandel für den Entwickler, der nach eigenen Worten erst vor zwei Wochen mit der Verbreitung der Erpresser-Malware begonnen hatte, indem er Links in „den Tiefen des Word Wide Webs“ platzierte. Doch der neue Schädling nahm schnell Fahrt auf – schneller als der Autor selbst es erwartet hatte. Eine Woche, nachdem er ihn in Umlauf gebracht hatte, zählte sein Entwickler, der sich selbst Tox nennt, über 1.000 User und mehr als 1.000 Infektionen; alle halbe Stunden registrierte er mehr als zweihundert aktive Blockierungsprogramme.

„Die Zahl der Nutzer nahm zu“, fasst der Virenautor zusammen. „Von 20 auf 50, von 50 auf 100, er verdoppelte sich alle 24 Stunden. Plan А bestand darin, sich ruhig und bedeckt zu verhalten. Nun, ich denke, ich hab’s versemmelt.“. Jetzt ist die Situation ihm nach eigenen Angaben zu heiß geworden, und er möchte aus dem „Geschäft“ aussteigen.

Zum Verkauf stehen sowohl die Quellcodes der Blockersoftware sowie auch die technische Dokumentation. Der Verkäufer erklärte zudem, dass er demjenigen den Zuschlag gebe, der gleich die Plattform und den Schädling zusammen kauft. Auch den Verkauf eines Pakets, das Datenbanken und einen privaten onion-Schlüssel enthält, schließt er nicht aus.

Wenn sich keine Käufer finden sollten, verspricht der Tox-Entwickler, innerhalb eines Monats die Schlüssel zur Verfügung zu stellen und die automatische Dechiffrierung der Dateien auf den Rechnern der Infektionsopfer zu starten.

In dem Beitrag auf Pastebin gibt es einige Ungereimtheiten. Zu Beginn schreibt der Autor, dass er fast noch ein Schüler sei und nicht zum Kriminellen werden wolle. Später erklärt er, dass, wenn er nur mehr Zeit und Mittel hätte, „[Tox] der großartigste Virus des Jahrhunderts werden würde“. Lawrence Abrams, Administrator bei BleepingComputer.com, hat dieses Posting gefunden und es am vergangenen Mittwoch mit Forumsteilnehmern geteilt.

Tox nutzt Tor und Bitcoin und ist die erste Erpressersoftware, die als Service auf dem Schwarzmarkt angeboten wurde. Es handelt sich um eine freie Suite, die es Cyberkriminellen ermöglicht, die Lösegeldsumme selbst festzulegen und die Plattform ausgehend von dieser Summe später zu konfigurieren.

Die Malware wird in Form von scr-Dateien in Umlauf gebracht, die mit dem Word-Icon versehen sind. Beim Start verschlüsselt der Schädling die Dateien auf einer infizierten Maschine und fordert Lösegeld. Das Tox-Interface macht es möglich, den gesamten Prozess zu verfolgen, unter anderem auch die Zahl der Installationen und den Umfang der Zahlungen. Obgleich sein Autor bekräftigt, die Tox-Population sei schnell angewachsen, ist die genaue Zahl der Infektionen nicht bekannt. Das Lösegeld wird in Bitcoin gezahlt und auf das Konto des Angreifers überwiesen, wobei der Virenautor 30% Provision erhält.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.