MIRCOP Crypto-Ransomware stellt sich selbst als Diebstahlsopfer dar

Originalartikel von Jaaziel Carlos, Threat Response Engineer

Allein im Juni dieses Jahres wurden mindestens drei unterschiedliche Ransomware-Verhaltensweisen erkannt: GOOPIC mit seltsam langen Zahlfristen, RAA mit Möglichkeiten des Passwortdiebstahls oder die neue JIGSAW-Variante mit Chat-Support. Nun kommt mit MIRCOP Crypto-Ransomware ein weiteres einzigartiges Verhalten hinzu, dass die Vermutung zulässt, dass es sich dabei anders als früher um gezielte Angriffe handelt.

MIRCOP (RANSOM_MIRCOP.A) gibt seinen Opfern keine Anleitungen, wie diese das Lösegeld zu zahlen haben. Im Gegenteil, es wird suggeriert, die Opfer wüssten bereits, wie sie die Rückzahlung zu tätigen hätten.

Bild 1. MIRCOP-Lösegeldnachricht

Die Betonung einer Rückzahlung soll zeigen, dass die Opfer wissen, wer der Empfänger des Gelds ist und die Guy Fawkes-Maske suggeriert, die Opfer hätten das Geld von einer Hacktivisten-Gruppe „gestohlen“, wobei für den Fall einer Weigerung mit weiteren Aktionen gedroht wird. Die Höhe des Lösegelds beträgt 48,48 Bitcoins (28.730,70 $, Kurs vom 23. Juni, 2016). Das ist die bislang höchste Forderung. Am Ende der Nachricht gibt der Autor nur eine Bitcoin-Adresse an. Die Nachforschungen unter dieser Adresse zeigten, dass bis jetzt keine Zahlungen dort eingegangen sind.

Bild 2. Bitcoin-Zahladresse

Infektionsvektor

MIRCOP wird über einen Spam mit angehängtem Dokument verbreitet, dass vorgibt ein Thai-Zollformular zu sein, dass für den Im- und Export von Waren benötigt wird. Das Dokument ist Makro-aktiviert und missbraucht Windows PowerShell, um Ransomware herunterzuladen. Es enthält auch Text, um das Makro zu aktivieren.

Bild 3. Bösartiger Anhang

Nach dem Öffnen der Datei und Aktivieren des Makros wird der Nutzer mit einem infizierten Link (hxxp://www[.]blushy[.]nl/u/putty.exe.) verbunden, von wo die Schadsoftware heruntergeladen und ausgeführt wird. Die Website ist mit einem Porno-Shop in niederländischer Sprache verlinkt. Technische Einzelheiten liefert der Originalbeitrag.

Die Schadsoftware verschlüsselt auch allgemeine Ordner. Werden Dateien geöffnet, so wird deren Inhalt in nicht lesbare Zeichen verwandelt.

Bild 4. Beispiel einer infizierten Datei

MIRCOP kann zudem auch Zugangsdaten für Programme wie Mozilla Firefox, Google Chrome, Opera, Filezilla und Skype stehlen.

Gezielte Angriffe?

„Es gibt einige Indizien, die darauf hindeuten, dass mit dieser Ransomware ganz bestimmte Opfer im Visier stehen“, so die Vermutung von Udo Schneider, Security Evangelist DACH. „Einerseits gibt es keine vollständigen Zahlungsanweisungen – man geht also davon aus, dass das Opfer schon wissen wird, wohin es die Bitcoins transferieren soll. Andererseits gab es keinen Spam-Ausbruch im Zusammenhang mit der Ransomware und deren Downloader. Auch  ist die Zahl der infizierten Maschinen (unter 20) bedeutend kleiner als bei Angriffen anderer Ransomware. Dies legt daher Schluss nahe, dass es sich hier um einen gezielten Angriff gegen eine bestimmte Person oder Organisation handelt. Gezielte Angriffe über Ransomware aber stellen eine neue Stufe der Bedrohung durch Ransomware dar“, so Schneider weiter.

Trend Micros Lösungen

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht.

Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltensmonitoring oder Echtzeit-Webreputationsdienste, um gegen Ransomware zu erkennen und zu blocken.

Privatanwender wiederum erhalten  mit Trend Micro Security 10 einen guten Schutz vor Ransomware.

Nutzer können auch die kostenlosen Tools wie Trend Micro Lock Screen Ransomware Tool nutzen, das Screen Locker Ransomware erkennt und entfernt. Das Trend Micro Crypto-Ransomware File Decryptor Tool wiederum kann bestimmte Varianten von Crypto-Ransomware entschlüsseln.

Folgende SHA1 Hashes stehen im Zusammenhang mit dem Angriff:

1bd90a4c38aa94256a128e9e2e35bc1c4635d6fc

95f8d1202c865c3fa04ced9409f83ee2755fdb28

5009B0ab4efb7a69b04086945139c808e6ee15e1

2083b11a5bf6cf125ff74828c1a58c10cc118e1b

Zusätzliche Informationen von Udo Schneider

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.