Ransomware Locky hat sich nun in den Sperrmodus begeben

Die erstmals im Februar aufgetauchte Erpresser-Software Locky ist in einen verschlüsselten Sperrmodus gewechselt. Darauf hat jetzt der Sicherheitsanbieter Avira hingewiesen. Mittels eines asymmetrischen Public-Key-Verschlüsselungsverfahrens soll die Kommunikation zwischen den mit der Ransomware infizierten Rechnern und den Befehlsservern (Command-&-Control-Server) der Locky-Hintermänner nun verschleiert worden sein.

Avira zufolge ermöglicht dieser Wechsel in den Sperrmodus den Locky-Autoren eine bessere Kontrolle über ihre Netzwerkinfrastruktur, indem sie Sicherheitsforschern das Abfangen ihrer Botnetzaktivitäten erschwert.

“Die Tatsache, dass die Netzwerkkommunikation nun mit einem öffentlichen Schlüssel chiffriert wurde, streut Sand in das Getriebe von Außenstehenden, die Locky bekämpfen wollen. Es ist damit weder möglich, die Aktivitäten der Ransomware nachzuverfolgen noch sie in irgendeiner Form zu beeinträchtigen”, erklärt Moritz Kroll, Sicherheitsforscher bei Avira. Damit werde jetzt ein privater RSA-Schlüssel als Gegenstück zu dem von den Kriminellen eingesetzten Public Key benötigt, um das Netzwerk der Verbrecher anzapfen zu können. “Und den behalten die Locky-Entwickler natürlich für sich”, ergänzt Kroll.

Bisher habe die Erpresser-Software immer einen spezifischen Public Key eingesetzt, um die auf den Rechnern ihrer Opfer befindlichen Dateien zu verschlüsseln. Nun nutze Locky zusätzlich noch einen öffentlichen RSA-Schlüssel, der mit einem speziellen Verschlüsselungsmuster ausgestattet wird, mit dem wiederum die Schlüssel zur Chiffrierung der Kommunikation mit dem Kommandoserver versehen werden.

Im Sperrmodus sendet Locky konkret einen binären Datenblock an der Befehlsserver. Dieser besteht aus einer AES-CTR-verschlüsselten Verbindungszeichenfolge und einem RSA-chiffrierten Block, der sich aus zwei Schlüsseln und einem HMAC-SHA1-Hash zusammensetzt.

“Der private RSA-Schlüssel ist erforderlich, um die Schlüssel zur Chiffrierung der Verbindungsanfrage und der vom Server kommenden Antwort zu extrahieren. Wenn man diesen RSA-Schlüssel nicht kennt, ist es weder möglich, die Verbindungsanfrage zu verstehen noch sich in die Kommunikation zwischen Opfer-Rechner und Kommandoserver zu schalten, um eine Antwort auszusenden, die der Locky-Trojaner entschlüsseln und verstehen könnte”, erläutert Kroll.

Dadurch werde es für Sicherheitsforscher nun erheblich schwerer, Informationen über die Aktivitäten der Ransomware abzufangen, um etwa Statistiken über Infektionen bereitstellen zu können. So sei es zwar weiterhin möglich, die IP-Adressen der Betroffenen herauszufinden und auch deren Standort zu bestimmen. Allerdings könne man nun nicht länger Informationen über das infizierte Betriebssystem, die potenzielle Anzahl an Opfern oder das von Locky geforderte Lösegeld sammeln.

Avira wertet dies nicht nur als Schutzmaßnahme gegen Sicherheitsexperten, sondern ebenso als präventiven Schritt, andere Cyberkriminelle davon abzuhalten, Kopien der Ransomware zu erstellen. Denn mit AutoLocky gab es laut dem Sicherheitsanbieter bereits einen Abkömmling des Trojaners.

“Es könnte durchaus sein, dass es anderen Kriminellen bereits gelungen ist, die Locky-Kommandoserver zu kompromittieren, um ihre eigenen Public Keys zur Verschlüsselung sowie ihren eigenen Erpresser-Text zu verteilen – darin besteht derzeit auch die einzige Möglichkeit, Locky aufzuhalten”, führt Kroll weiter aus.

Locky verbreitet sich seit Februar vorwiegend über per E-Mail verschickte Word-Dokumente. Der Sicherheitsanbieter Palo Alto Networks hatte den Erpresser-Trojaner damals entdeckt. Die angeblichen Rechnungen enthielten ein Makro, das es Locky ermöglicht, auf den Rechner zu gelangen. Eine ähnliche Technik nutzt auch die Banking-Malware Dridex.

Avira schätzt das von Locky erpresste Lösegeld derzeit auf eine Summe in Höhe zwischen 200 und 15.000 Euro – abhängig von der Größe einer betroffenen Organisation. Die Ransomware befällt den Sicherheitsforschern zufolge vor allem Krankenhäuser und große Unternehmen. Es gilt als nahezu ausgeschlossen, von dem Trojaner verschlüsselte Dateien ohne den Schlüssel der Erpresser zu dechiffrieren.

Zudem gelingt es den Urhebern der Malware, diese immer weiter zu verfeinern. Denn schon Ende April war eine neue Variante von Locky aufgetaucht, auf die Trend Micro hingewiesen hatte. Diese verbreitete sich nicht nur über Sicherheitslücken im Flash Player, sondern ebenso über Schwachstellen im Windows-Kernel.

Bei dieser Locky-Variante werden unter anderem bei den Routinen, die zum Download und zur Installation der Schadsoftware verwendet werden, Windows-System-Prozesse nachgeahmt. Außerdem würden keine Dateien erzeugt und Prozesse nur zur Laufzeit ausgeführt. Dadurch hätten es nicht nur Sicherheitsprogramme schwer, die auf die traditionellen Verhaltensanalyse setzen, sondern auch solche, die bisher als “modern” angesehene Abwehrmechanismen wie Sandbox-Technologien nutzen, erklärt Trend Micro.

 Loading ...