WildFire-Ransomware-Kampagne gestoppt

Die Initiative No More Ransom hat Dechiffrierungsschlüssel für einen weiteren Ransomware-Stamm veröffentlicht: Die Opfer der hauptsächlich auf Holland ausgerichtete Erpressersoftware mit dem Namen WildFire können ihre Dateien nun zurückerhalten, ohne den Angreifern ein Lösegeld zahlen zu müssen.

Laut einem Update der Nationale Politie, der niederländischen Polizei, vom vergangenen Mittwoch konnte sie bei der Beschlagnahmung der Command and Control Server von WildFire 5.800 Decodierungsschlüssel konfiszieren, davon etwa 3.000 Schlüssel für Infektionen in Holland und 2.100 für Infektionen in Belgien.

WildFire wird wie die meisten Arten von Ransomware über schädliche Spam-Mails verbreitet, doch der Unterschied zu anderen Familien besteht darin, dass die Mails laut Jornt van der Weil, einem Sicherheitsforscher aus dem Global Research and Analysis Team von Kaspersky Lab, in „fließendem“ Holländisch verfasst sind.

Die Erpressersoftware WildFire hat in erster Linie, wie die ähnlichen Familien GNLocker und Zyklon auch, Opfer in den Niederlanden und in Belgien attackiert. Die Angreifer hinter WildFire stützen sich auf eine gefälschte niederländische Domain und schreiben die Adresse des angegriffenen Unternehmens in die E-Mail, was laut van der Wiel selten vorkommt und die Chance erhöht, dass sie jemand öffnet.

Die E-Mails stammen angeblich von einem Logistikunternehmen, das versucht, ein Paket zuzustellen. Die Opfer werden aufgefordert, eine erneute Lieferung auszulösen, indem sie ein Formular ausfüllen. Die auf einer verdächtig aussehenden niederländischen Domain gehosteten Dokumente sind selbstverständlich mit Macros belastet, die – werden sie aktiviert – die Ransomware herunterladen und ausführen.

WildFire verschlüsselt die Dateien der Nutzer daraufhin mit AES im CBC-Modus und verlangt für die Dechiffrierung in den meisten Fällen 299 Euro. Wenn ein Anwender zu lange mit der Zahlung wartet – das heißt normalerweise acht Tage – steigt der Preis auf 999 Euro.

image001

Eng mit der niederländischen Polizei zusammenarbeitend, war van der Wiel in der Lage, den Code zu analysieren, der zu dem Steuerungspaneel des Ransomware-Botnetzes gehört und festzustellen, dass WildFire keine Rechner infiziert, die sich in Russland, der Ukraine, in Weißrussland, Lettland, Estland oder Moldawien befinden, anscheinend in dem Versuch, dort nicht die Aufmerksamkeit der lokalen Strafverfolgungsbehörden auf sich zu ziehen.

Obgleich die Ransomware diese Länder als Angriffsziele ausgespart hat, war sie durchaus erfolgreich: Im Laufe eines Monats gab es mehr als 5.700 Infektionen mit dieser Erpressersoftware. Von den infizierten Nutzern haben etwa 236 insgesamt ungefähr 78.700 US-Dollar bzw. 70.000 Euro gezahlt. Hätten es die Angreifer geschafft, die Kampagne aufrecht zu erhalten, so hätten sie ein Nettoeinkommen von 80.000 Euro monatlich gehabt.

Im Laufe der letzten Wochen hat die Ransomware 50 Prozent der Zeit auf Angriffe auf Personen in den Niederlanden und 36 Prozent der Zeit auf Angriffe in Belgien verwendet. Von jetzt an werden mit der Ransomware infizierte Opfer auf die Website NoMoreRansom.org weitergeleitet, wo sie Instruktionen erhalten, um ihre Dateien zu entschlüsseln.

Die Initiative No More Ransom wurde letzten Monat in der Hoffnung gestartet, die Nutzer besser über die Gefahr informieren zu können, die von Ransomware ausgeht. Das Projekt, das gemeinschaftlich von Europol, der niederländischen Polizei, Intel Security und Kaspersky Lab gestützt wird, ist auch eine Sammel- und Ausgabestelle für Ransomware-Dechiffrierungsschlüsseln geworden, und zwar neben WildFire auch für Chimera, Teslacrypt, Shade sowie eine weitere Variante, die die Niederlande angegriffen hat, und zwar CoinVault.

Es ist fast ein Jahr her, dass das Dutch National High Tech Crime Unit die Forscher von Kaspersky Lab um Hilfe ersuchte und zwei Hintermänner der CoinVault-Kampagne aus den Niederlanden verhaftete. Wie auch die Kriminellen hinter WildFire benutzten die Angreifer hinter CoinVault fehlerfreie niederländische Phrasen, ein verräterisches Zeichen dafür, dass es sich um eine niederländische Verbindung handelt.

„Die Beschlagnahmung der Dechiffrierungsschlüssel von WildFire zeigt einmal mehr, dass der Kampf gegen Cyberkriminalität, insbesondere gegen Ransomware, in Zusammenarbeit wesentlich erfolgreicher ist“, sagte John Fokker, der Digital Team Coordinator des Dutch National High Tech Crime Units am Mittwoch. „Die niederländische Polizei ist bemüht, den Ransomware-Opfern zu helfen, indem sie Ransomware-Fälle ermittelt, die kriminelle Infrastruktur zerschlägt und Dechiffrierungsschlüssel verbreitet.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.