Die erpresserische Malware Chimera droht persönliche Daten zu veröffentlichen und wirbt zugleich für ein kriminelles Geschäftsmodell. Die Malware-Macher suchen Kunden für ihren Dienst als Ransomware-Anbieter. [...]
Die Erpresser-Malware (Ransomware) Chimera ist inzwischen bereits eine Weile bekannt. Sie verschlüsselt, wie andere Ransomware auch, Dateien des Benutzers auf dem infizierten Rechner und fordert dann eine Art Lösegeld. In der gleichen Bildschirmmeldung werben die Chimera-Macher auch für die Teilnahme an ihrem Partnerprogramm. Trend Micros Malware-Forscher Anthony Joe Melgarejo hat sich das Chimera-Geschäftsmodell etwas näher angesehen.
Die Chimera-Ransomware droht ihren Opfern damit, dass ihre Fotos und Videos im Internet veröffentlicht werden können, wenn sie das geforderte Lösegeld nicht bezahlen. Allerdings zeigt eine Code-Analyse, dass der Schädling keine Routinen enthält, um Dateien des Rechners an einen Command&Control-Server (C&C-Server) der Täter zu senden. Lediglich die durch Chimera generierte Opfer-ID, Bitcoin-Adresse und der private Schlüssel werden übertragen.
Im gleichen Nachrichtenfenster, das die Lösegeldforderung und die Drohung der Veröffentlichung anzeigt, findet sich auch Werbung für das Geschäftsmodell der Chimera-Macher. Sie wollen sozusagen Ransomware-as-a-Service (RaaS), also eine Dienstleistung verkaufen. Angeworbene Mittäter („Affiliates“) sollen die Schädlinge selbst weiter verbreiten und einen Teil ihrer Lösegeldeinnahmen an die Ransomware-Anbieter abtreten. Informationen dazu, wie man mit den Tätern Kontakt aufnehmen kann, um vom Opfer zum Kunden zu werden, sollen sich im Quelltext der Nachricht finden.
Tatsächlich findet sich dort eine Kontaktadresse zur Übermittlung verschlüsselter Nachrichten. Es ist eine Bitmessage-Adresse, bei der die Nachricht über ein Peer-to-Peer-Netz verschickt wird. Sender und Empfänger der Nachricht werden dabei verschleiert. Ihre Schad-Software als Dienstleistung zu vermarkten, ergibt aus Sicht der Täter durchaus Sinn. Sie erschweren es damit Ermittlern sie aufzuspüren. Durch die Gewinnbeteiligung machen sie Profit, ohne ein großes Risiko einzugehen.
Allerdings ist Chimeras Ransomware-as-a-Service ziemlich schlicht gestrickt. Es fehlt an einer zuverlässigen C&C-Infrastruktur und auch die Art, wie die Täter das Tor-Netzwerk nutzen, ist eher hausbacken. Code-Verschleierung findet ebenfalls nicht statt, sodass Sicherheitsforscher charakteristische Zeichenfolgen leicht zur Erkennung der Malware nutzen können. Andere Ransomware wie TeslaCrypt und CryptoWall wird auch als RaaS angeboten, die ganze Infrastruktur ist jedoch ausgefeilter.
Erpresserische Malware hat sich in diesem Jahr bereits zu einer der am weitesten verbreiteten Schädlingsgattungen entwickelt. Trend Micros Prognose für 2016 besagt, dass sich dieser Trend auch im nächsten Jahr fortsetzen und weiter verstärken wird.
* Frank Ziemann ist Redakteur der PC-Welt.
Be the first to comment