Ransomware: Zu viele öffentliche Informationen sind schädlich

Originalbeitrag von Trend Micro

Sicherheitsforscher stehen in der Verantwortung, die von ihnen gesammelten Informationen entsprechend weiterzugeben, um sowohl der Branche als auch den Anwendern zu helfen. Aber eine unangebrachte Veröffentlichung von sensiblen Informationen, wenn auch in bester Absicht geschehen, kann zu komplizierten und zum Teil schädlichen Szenarien führen. Doch was ist „angebracht“ und „verantwortungsvoll“, wenn es um Austausch von Informationen geht? Und wie viel ist „zu viel“?
Zu Trainingszwecken veröffentlichte eine türkische Sicherheitsgruppe Otku Sen Mitte August 2015 auf github (von Trend Micro geblockt) einen quelloffenen Code für Ransomware namens „Hidden Tear“. Das Programm ist eine neue Schadsoftware und nutzt AES-Verschlüsselung, um sich AV-Plattformen zu entziehen. Otku Sen veröffentlichte auch ein kurzes Video, in dem gezeigt wird, wie Ransomware funktioniert. Der Autor erklärte ausdrücklich, Hidden Tear nicht als Ransomware zu verwenden, sondern lediglich zu Schulungszwecken, denn die Nutzung als Ransomware sei strafbar!

Das kann zwar für einige hilfreich sein, doch birgt das Vorgehen auch hohe Risiken. Natürlich kann jeder im Internet diese Warnung missachten. Das dies geschehen war, wurde deutlich, als Trend Micro eine gehackte Website in Paraguay entdeckte, die Ransomware (RANSOM_CRYPTEAR.B) verteilte. Die Analyse ergab, dass die Website von einem brasilianischen Hacker infiziert worden war und die Ransomware mithilfe von modifiziertem Hidden Tear-Code erstellt wurde.

Die Website war zuerst zwischen dem 15. September und 17. Dezember 2015 kompromittiert und wurde dann am nächsten Tag nochmals infiziert. Sie leitet Besucher um auf eine gefälschte Site mit einem Adobe Flash-Download. Sobald der Download abgeschlossen ist, läuft die Datei automatisch.

Bild 1. Der Infektionsvektor

Zu den in RANSOM_CRYPTEAR.B gefundenen Änderungen gehört ein Kasten mit portugiesischem Text, der den Desktop-Hintergrund des Nutzers ersetzt. Die Angreifer fordern auf Portugiesisch 2.000 R$ (496,94 US$) in Bitcoin. Einzigartig ist auch die Tatsache, dass der generierte Schlüssel in der gültigen Datei verloren ist. Der generierte Entschlüsselung-Key wir in einer .txt-Datei aufbewahrt. Sobald die Schadsoftware im Desktop-Ordner abgelegt ist, beginnt sie, die Dateien zu verschlüsseln. Deshalb ist es sehr schwierig, die Dateien wieder herzustellen, auch wenn das Lösegeld bezahlt wurde.

Bild 2. RANSOM_CRYPTEAR.B Desktop Image

Bild 3. RANSOM_CRYPTEAR.B Lösegeldnachricht

Um die Auswirkungen von Ransomware zu minimieren, rät Trend Micro, regelmäßige Backups zu erstellen und die Sicherheitslösung immer auf aktuellem Stand zu halten. Auf die Lösegeldforderungen einzugehen, liefert keine 100-prozentige Garantie dafür, dass die verschlüsselten Dateien auch wieder entschlüsselt werden (siehe auch Ransomware 101: What, How, and Why).

Der interessantere Aspekt des Vorfalls sind die Umstände, unter denen die Verbreitung der Ransomware möglich war, nämlich die Veröffentlichung des Source Codes. Trotz ausgesprochener Warnung und guter Absichten ist die Veröffentlichung solcher Informationen kein vernünftiges Verhalten. Viele Nutzer im Deep Web und anderer Foren verwenden die Warnungen explizit als Möglichkeit, jede Schuld von sich zu weisen. Mehr noch, das Verbot der Nutzung bestimmter Technologien oder Wissens macht diese für Cyberkriminelle und Computer-Freaks noch attraktiver.

Deshalb sollte die Sicherheitsbranche sehr vorsichtig mit der Veröffentlichung – wenn auch zu Schulungszwecken — von Informationen umgehen, die von Bedrohungsakteuren verwendet werden könnte. „Wir müssen unsere Kinder Physik lehren, aber nicht, wie man eine Atombombe baut“, erklärt Martin Roesler, Senior Director for Research bei Trend Micro. „Auch müssen wir Wissen, das das Verständnis von potenziellem Schaden stärkt, miteinander teilen, aber nicht die Fähigkeit, diesen Schaden herbeizuführen.“ Es sei wie mit Medizin und Gift – den Unterschied macht die Dosis aus, so Roesler. Also sollten die Forscher Wissen über die Funktionsweise von Schadsoftware austauschen, aber nicht den dafür erforderlichen Sample-Code.

„Für unsere Branche ist es, abhängig vom Einzelfall, eine Entscheidung zwischen ‚muss man wissen‘ und ‚muss man nicht wissen‘“, betont der Fachmann. „Mit einem ausgewählten Publikum über ein ausgewähltes Medium sollte der Wissensaustausch immer stattfinden. Beispielsweise sollte der Austausch von Informationen bis hin zu Samples mit Security-Anbietern oder solchen, die von einem Exploit betroffen sind, über sichere Kanäle gehen.“ Über öffentliche Kanäle wiederum sollte ein nicht zensiertes Publikum die Informationen erhalten, die nötig sind, um sich selbst zu schützen. Roesler betont: „Verschiedene Kanäle für unterschiedliche Dosen an Information.“

Hashes für damit zusammenhängende Dateien:

  • fef6c212fc093c5840370826f47aa8e42197b568

Zusätzliche Einsichten von Michael Marcos

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*