Chimera Crypto-Ransomware sucht Geschäftspartner

Originalbeitrag von Anthony Joe Melgarejo, Threat Response Engineer

Die Crypto-Ransomware Chimera (Ransom_CRYPCHIM.A) hat ein ungewöhnliches Anliegen an ihre Opfer – sie sucht unter ihnen Geschäftspartner. Auch durch zwei weitere Eigenschaften hebt sich die Schadsoftware von anderen ab.

Online-Erpressung?

Chimera verschlüsselt nicht nur Dateien, sondern droht auch, diese im Netz zu veröffentlichen, sollte das Lösegeld nicht gezahlt werden. Das hat bislang noch keine Ransomware getan.

Bild 1. Die Schadsoftware umfasst zwei Versionen des Drohbriefes, in Englisch und in Deutsch

Die Drohung, die Daten zu veröffentlichen, lässt jedes Opfer besonders gründlich darüber nachdenken, den Forderungen nachzukommen. Verschlüsselte Dateien ließen sich noch verschmerzen, falls ein Backup vorhanden ist, doch ein Datenabfluss ist schon ein schwerwiegenderer Schaden.

Die Analyse der Sicherheitsforscher jedoch ergab, dass die Schadsoftware trotz der Drohung keine Funktionalität beinhaltet, um die Dateien eines Opfers an einen Command-&-Control-Server weiterzugeben. Chimera sendet lediglich die erzeugte Opfer-ID, Bitcoin-Adresse und den privaten Schlüssel.

Partnerprogramm

Der Drohbrief enthält auch einen weiteren „interessanten“ Vorschlag für die Opfer. Am Ende der Nachricht fordern die Erpresser die Opfer dazu auf, „das Partnerprogramm zu ihrem Vorteil zu nutzen“. Details dazu finden sich im Quellcode der Datei, so die Cyberkriminellen. Die Bemerkung zielt eindeutig darauf ab, Interessenten mit technischem Wissen zu finden.


Bild 2. Einladung zum Partnerprogramm

Im Code befindet sich tatsächlich eine Kontaktadresse für Interessierte. Es handelt sich um eine Bitmessage-Adresse, also ein legales Peer-to-Peer Kommunikationsprotokoll für das Versenden von verschlüsselten Nachrichten, wobei der Empfänger und Absender maskiert werden.

Bild 3. Nachricht im Quellcode

Bezahlen von Lösegeld

Was passiert, wenn das Opfer das Lösegeld bezahlt? Die Nachricht enthält Anweisungen für die Opfer, um die Decrypter Software herunterzuladen. Wird die Software heruntergeladen, so sucht sie zuerst nach den verschlüsselten Dateien und nach der Erpressernachricht, um die erstellte Bitcoin-Adresse für das Opfer zu finden. Danach zeigt sie folgende Nachricht an:

Bild 4. Weitere Anweisungen für die Bezahlung

Die Decrypter Software beinhaltet auch eingebettete BitMessage-Software. Sobald eine Zahlung bestätigt ist, schickt der Cyberkriminelle eine BitMessage mit der Opfer-ID und dem Entschlüsselungs-Key für die Decrypter Software.

Ransomware-as-a-Service

Es mutet etwas seltsam an, dass Schadsoftware-Autoren Partner suchen. Schließlich müssen sie dann den Profit teilen. Doch bietet Ransomware-as-a-Service (or RaaS) einige Vorteile. RaaS erschwert es, die illegale Aktivität zum Autor zurückzuverfolgen. Der Verkauf von Ransomware als Dienst lässt die Autoren Profit machen, ohne ein hohes Risiko einzugehen, erwischt zu werden. Bei einer Provision von 50% des Gewinns zahlt sich diese Geschäftsmodell für die Cyberkriminellen aus.

Im Vergleich zu anderer Ransomware (z.B. CryptoWall, TeslaCrypt) ist dieser RaaS nicht besonders ausgefeilt. Es kommt vor, dass der Betrieb unterbrochen wird, noch bevor er vollständig aufgesetzt ist. Der Code lässt jegliche Tarnung vermissen, so dass Sicherheitsforscher oder Ermittler die einzigarten Strings nutzen können, um die Bedrohung zu erkennen. Auch fehlt manchem RaaS eine gute C&C-Infrastruktur und auch Tor2Web wird nicht in Anspruch genommen. Stattdessen baut der Dienst auf eine herunterzuladende ausführbare Tor-Datei für die Kommunikation.

Chimeras Routinen sind zwar neu im Ransomware-Kreislauf, entsprechen aber den Vorhersagen von Trend Micro für 2016 bezüglich eines Anstiegs der Online-Erpressungsversuche, die die Angst der Opfer vor einer Rufschädigung bei Veröffentlichung persönlicher Dateien ausnützen.

Hashes für die damit in Zusammenhang stehenden Dateien:

  • 806a8b0edee835c0ff1bb566a3cb92586354fec9
  • 8b91f3c4f721cb04cc4974fc91056f397ae78faa
  • a039ae3f86f31a569966a94ad45dbe7e87f118ad

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*