Erpresser-Trojaner Locky kommuniziert nun verschlüsselt
Ein asymmetrischer Public Key wird genutzt, um die Kommunikation zwischen den mit Locky infizierten Rechnern und den Kommandoservern der Hintermänner zu verschleiern. Für Sicherheitsforscher wird das Sammeln nützlicher Informationen, etwa zum geforderten Lösegeld, nun schwieriger.
Die erstmals im Februar aufgetauchte Ransomware Locky ist in einen verschlüsselten Sperrmodus gewechselt. Davor hat das Sicherheitsunternehmen Avira gewarnt. Die Kommunikation zwischen den mit der Erpresser-Software infizierten Computern und den Kommandoservern (Command-&-Control-Server) der Locky-Hintermänner soll jetzt durch ein asymmetrisches Public-Key-Verschlüsselungsverfahren verschleiert worden sein.
Laut Avira erlaubt der Wechsel in den Sperrmodus den Locky-Autoren nun eine bessere Kontrolle über ihre Netzwerkinfrastruktur, indem sie Sicherheitsexperten das Abgreifen ihrer Botnetzaktivitäten erschwert.
“Die Tatsache, dass die Netzwerkkommunikation nun mit einem öffentlichen Schlüssel chiffriert wurde, streut Sand in das Getriebe von Außenstehenden, die Locky bekämpfen wollen. Es ist damit weder möglich, die Aktivitäten der Ransomware nachzuverfolgen noch sie in irgendeiner Form zu beeinträchtigen”, erläutert Moritz Kroll, Sicherheitsforscher bei Avira.
Dadurch werde jetzt ein privater RSA-Schlüssel als Pendant zu dem von den Kriminellen genutzten Public Key erforderlich, um deren Netzwerk weiterhin anzapfen zu können. “Und den behalten die Locky-Entwickler natürlich für sich”, ergänzt Kroll.
Bislang habe der Erpresser-Trojaner stets einen spezifischen Public Key verwendet, um die auf den Computern ihrer Opfer abgelegten Dateien zu chiffrieren. Nun setze Locky zusätzlich auf einen öffentlichen RSA-Schlüssel, der mit einem speziellen Verschlüsselungsmuster versehen ist, mit welchem wiederum die Schlüssel zum Chiffrieren der Kommunikation mit dem Befehlsserver ausgestattet werden.
Konkret sendet Locky im Sperrmodus einen binären Datenblock an der Kommandoserver. Der besteht aus einer mit AES-CTR verschlüsselten Verbindungszeichenfolge sowie einem RSA-chiffrierten Block, der sich aus zwei Schlüsseln und einem HMAC-SHA1-Hash zusammensetzt.
“Der private RSA-Schlüssel ist nötig, um die Schlüssel zum Chiffrieren der Verbindungsanfrage und der vom Server kommenden Antwort herausfiltern zu können. Wenn man diesen RSA-Schlüssel nicht kennt, ist es nicht möglich, die Verbindungsanfrage zu verstehen”, wie Kroll erläutert.
Dadurch werde es für Sicherheitsforscher nun bedeutend schwerer, Informationen über die Aktivitäten der Erpresser-Software abzugreifen, um beispielsweise Statistiken über Infektionen verfügbar machen zu können. So sei es zwar weiterhin möglich, die IP-Adressen der Betroffenen zu ermitteln und auch deren Standort zu bestimmen. Allerdings könne man nun nicht länger Informationen über das infizierte Betriebssystem, die potenzielle Anzahl an Opfern oder das von Locky geforderte Lösegeld aggregieren.
Avira wertet das nicht nur als Maßnahme, um sich gegen das Mitlauschen der Kommunikation durch Sicherheitsforscher zu schützen, sondern auch als präventiven Schritt, andere Verbrecher davon abzuhalten, Kopien der Ransomware zu erstellen. Denn mit AutoLocky gab es laut dem Sicherheitsanbieter bereits einen Abkömmling des Erpresser-Trojaners.
“Es könnte durchaus sein, dass es anderen Kriminellen bereits gelungen ist, die Locky-Kommandoserver zu kompromittieren, um ihre eigenen Public Keys zur Verschlüsselung sowie ihren eigenen Erpresser-Text zu verteilen – darin besteht derzeit auch die einzige Möglichkeit, Locky aufzuhalten”, führt Kroll weiter aus.
Locky verbreitet sich seit Februar in erster Linie über via E-Mail versendete Word-Dokumente. Das Sicherheitsunternehmen Palo Alto Networks hatte die Ransomware entdeckt. Die angeblichen Rechnungen enthielten ein Makro, das es Locky ermöglicht, auf den Rechner zu gelangen. Eine ähnliche Technik nutzt auch die Banking-Malware Dridex.
Avira schätzt das von Locky erpresste Lösegeld gegenwärtig auf eine Summe in Höhe zwischen 200 und 15.000 Euro – je nach Größe einer betroffenen Organisation. Dem Sicherheitsanbieter zufolge befällt die Erpresser-Software in erster Linie Krankenhäuser sowie große Unternehmen. Es gilt als nahezu ausgeschlossen, von dem Trojaner verschlüsselte Dateien ohne den zugehörigen Schlüssel der Erpresser zu dechiffrieren.
Zudem gelingt es den Urhebern der Malware, diese immer weiter zu verfeinern. Denn schon Ende April war eine neue Variante von Locky aufgetaucht, auf die Trend Micro hingewiesen hatte. Diese verbreitete sich nicht nur über Schwachstellen im Flash Player, sondern auch über Anfälligkeiten im Windows-Kernel.
Bei dieser Locky-Variante werden unter anderem in den Routinen, die zum Download und zur Installation der Schadsoftware eingesetzt werden, Windows-System-Prozesse imitiert. Außerdem würden keine Dateien erzeugt und Prozesse nur zur Laufzeit ausgeführt. Dadurch hätten es nicht nur Sicherheitsprogramme schwer, die auf die traditionellen Verhaltensanalyse setzen, sondern auch solche, die bisher als “modern” angesehene Abwehrmechanismen wie Sandbox-Technologien nutzen, erklärt Trend Micro.
[mit Material von silicon.de]