R980-Ransomware nutzt „Wegwerf“ Mail-Adresssen

Originalartikel von Francis Antazo und Mary Yambao

Angespornt vom Erfolg ihrer „Kollegen“ veröffentlichen Kriminelle immer mehr Ransomware-Familien und Varianten in immer kürzeren Abständen. Die jüngste in dieser Reihe ist R980 (RANSOM_CRYPBEE.A).

R980 wird über Spam-Mails oder kompromittierte Websites verbreitet. Wie schon die Mails mit Locky, Cerber und MIRCOP umfassen auch diese Dokumente, in die ein bösartiges Makro (W2KM_CRYPBEE.A) eingebettet ist, das R980 über eine bestimmte URL herunterlädt. Seit der Entdeckung von R980 (am 26. Juli) hat es drei aktive Verbindungen zu dieser URL gegeben.



Bild 1. Eine der R980-Lösegeldforderungen dient auch als Hintergrund für die infizierte Maschine.

Bild 2. Das in das bösartige Dokument eingebettete Makro, welches die Ransomware von der URL hxxp:// bookmyroom[.]pk/assets/timepicker/f[.]exe abholt

R980 verschlüsselt 151 Dateitypen unter Verwendung von AES-256- und RSA 4096-Algorithmen. Auch wenn die Schadsoftware eine .crypt-Extension an die verschlüsselten Dateien anhängt, so hat sie keinerlei Ähnlichkeit mit früheren Versionen von CryptXXX, die dieselbe Extension nutzte. Für die Verschlüsselung verwendet R980 einen Cryptographic Service Provider (CSP), das heißt eine Softwarebibliothek, die Entwickler für die Implementierung von kryptografischen Funktionen in Windows-basierte Anwendungen heranziehen.

Bild 3. Ähnlich wie etwa Locky nutzt R980 RSA für die Verschlüsselung von Dateien über Funktionen wie CryptAcquireContext und CryptGenerateRandom aus einem Cryptographic Service Provider.

Für Persistenz nutzt die Malware die Registry Key HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Anders als die meisten anderen Familien löscht sich R980 nach der Infektion des Systems nicht selbst. Die Schadsoftware erinnert ein bisschen an DMA Locker (RANSOM.MADLOCKER.B). Einzelheiten dazu siehe im Originalbeitrag.

Bild 4. Eine der R980-Lösegeldforderungen, die Anleitungen für die Zahlung von 0,5 Bitcoin (294.42 $) umfasst

R980 kommuniziert mit ihrem Command-and-Control-Server, um eine Bitcoin-Adresse für die Zahlung des Lösegelds zu liefern. Für den Erhalt der Anonymität können Angreifer „Wegwerf“-Mailadressen erstellen. Dazu nutzen sie die Dienste von Mailinator, einem System, das automatisch E-Mails nach ein paar Stunden löscht. Über dieselbe Website erstellen die Angreifer öffentliche Mail-Konten für ihre Opfer, die dazu genutzt werden, um den Link für das Entschlüsselungs-Tool zu bewahren.

Bild 5. Snapshot einer Netzwerkkommunikation von R980 mit dem C&C-Server, die zeigt, wie sie die Bitcoin-Adresse für die Zahlung des Lösegelds liefert. Sie ist für jedes Opfer einzigartig.

Obwohl R980 eine krude Mischung aus Funktionalität der Vorgänger ist, zeigt die Nutzung bösartiger Makros und kompromittierter Websites als Infektionsvektoren, dass die Ransomware eine nicht zu unterschätzende Bedrohung darstellt. Daher sind Nutzer gut beraten, Makros in ihren Office-Anwendungen zu deaktivieren und keine nicht angeforderten Mail-Anhänge zu öffnen. Auch eine solide Backup- und eine effiziente Sicherheitsstrategie gegen Ransomware sind wichtig.

Trend Micros Lösungen

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltensmonitoring oder Echtzeit-Webreputationsdienste, um gegen Ransomware zu erkennen und zu blocken.

Privatanwender schließlich können sich über Trend Micro Security 10 schützen.

Nutzer können auch die kostenlosen Tools wie Trend Micro Lock Screen Ransomware Tool nutzen, das Screen Locker Ransomware erkennt und entfernt. Das Trend Micro Crypto-Ransomware File Decryptor Tool wiederum kann bestimmte Varianten von Crypto-Ransomware entschlüsseln.

Damit zusammenhängende Hashes:

  • 252E82E52DDDEE5D2593DA23793244195DFCF368 – W2KM_CRYPBEE.A
  • 8340937BFD1546988E036FA5A5B44337EEA08466 – RANSOM_CRYPBEE.A

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.