Die Malware-Analysten von Palo Alto Networks, Unit 42, haben eine aktualisierte Version der Ransomware CryptoBit entdeckt, welche sich über das Rig Exploit Kit (EK) verbreitet. [...]
Am 23. und 24. Juni nutzte diese Kampagne ein Gate mit einem Domainnamen, der laut den Security-Experten auf das Rig EK hindeutet. Wann immer ein angreifbares Windows-Gerät auf diesen Traffic stößt, liefert das Rig EK auf dem Gerät CryptoBit aus, um das Gerät zu infizieren. Andere Quellen benutzen verschiedene Begriffe für diese Ransomware, etwa „CriptoBit“ oder „Mobef“ anstatt „CryptoBit“.
„Die Entwickler von CryptoBit haben ihre Schadsoftware überarbeitet um Windows-Endgeräte noch effektiver anzugreifen. Wir beobachten in letzter Zeit immer häufiger, dass Kriminelle ihre Malware verändern und optimieren. Dadurch wird es für konventionelle Sicherheitslösungen wie Antivirus-Software sehr schwer, die Malware zu stoppen“, erklärt Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks. „Die Anbieter traditioneller Sicherheitssoftware liefern sich mit den Kriminellen ein Wettrennen, dessen Geschwindigkeit immer mehr zunimmt.“
Das eingesetzte Gate überprüft die Bildschirmauflösung und Zeitzone des Opfergeräts. Der Rig EG Traffic hat sich seit Mai 2015 nicht sehr verändert, als die Verschleierung der Nutzlast auf das XOR-ing („Exklusiv-oder“-Prinzip) der Binärdaten mit einer ASCII-Reihung umgestellt wurde. Bei dieser Infektion war der Windows Host verwundbar auf Grund eines veralteten Flash-Plugins. Der CryptoBit Traffic hat einen falschen User-Agenten im HTTP Header und beinhaltet zudem eine falsche Referrer-Zeile, um die Callback-Aktivität als regulären Web Traffic zu tarnen. Nach der Infizierung öffnet sich ein Fenster auf dem Desktop des infizierten Hosts.
Darin heißt es übersetzt: „Wenn Sie Ihre Dateien wiederhaben möchten, dann mailen Sie mir unter: kyklos@lelantos.org + sycophant@sigaint.org + epiclesis@protonmail.ch + malakia@anoninbox.net. Schicken Sie eine E-Mail an alle diese Adressen, für den Fall dass eine verloren geht. Vergessen Sie nicht, später Ihren Spam-Ordner zu checken, in aller Wahrscheinlichkeit wird meine Antwort dort landen. Falls Sie anonym bleiben möchten oder Sie keine Antwort erhalten, versuchen Sie bitte Bitmessage [bitmessage.org] und die folgende Adresse zu benutzen, um mich zu kontaktieren: BM-NaxZ29ouecw2Y7ibaXKus1vxDRDtheW6. Diese Methode funktioniert 100%ig.“
Dieses Fenster lässt sich nicht verschieben. Nachdem der Host wieder hochgefahren ist, verschwindet das Popup-Fenster. Stattdessen bleibt eine Text-Datei auf dem Desktop, welche dieselben Anweisungen zur Entschlüsselung enthält. Man kann zudem Schlüsseldateien sehen. Seit dem 27. Juni hat diese Kampagne begonnen, andere Malware als bislang zu verbreiten. Zwischen dem 17. Juni und dem 27. Juni haben die Forscher von Palo Alto Networks jedoch mindestens acht Beispiele dieser aktualisierten CryptoBit-Variante entdeckt.
Weitere Details zu den Ergebnissen seiner Untersuchung haben die Security-Experten auf ihrer Webseite gesammelt. (pi)
Be the first to comment