Unrühmliche Partnerschaft: CryptoWall 3.0-Ransomware und FAREIT Spyware

Originalartikel von Anthony Joe Melgarejo, Threat Response Engineer

Crypto-Ransomware legt mit neuen Routinen noch einmal nach. Die Bedrohungsforscher fanden eine Variante, die zum ersten Mal mit Spyware kombiniert ist. Dabei hatten die Fachleute erst kürzlich entdeckt, dass Ransomware nun auch Dateiinfektion in die Routinen aufgenommen hatte.

CryptoWall 3.0

CryptoWall wurde im letzten Jahr als Payload in Spam-Nachrichten zum ersten Mal gefunden. Bemerkenswert war, dass die Schadsoftware für ihre Zahlprozesse statt einer GUI, wie sie sonstige Varianten verwenden, zu anderen Mittel griff, so etwa das Öffnen einer Tor-Site, wo die Opfer direkt zur Zahlung aufgefordert wurden, oder eine Benachrichtigung in Notepad, die Anleitungen für den Zugriff auf eine Zahlungsseite über einen Tor-Browser enthielt.

Seit diesen ersten Sichtungen von CryptoWall hat sich viel verändert. Die früheren Versionen gaben vor, CryptoLocker zu sein und ahmten sogar dessen Benutzerschnittstelle für die Benachrichtigungen nach. Mittlerweile verwendet CryptoWall seinen eigenen Namen und die eigene Benutzerschnittstelle für die Opfer.

Auch wird für die Command & Control (C&C)-Server nicht mehr Tor herangezogen. Die neueste Version, CryptoWall 3.0, verwendet nun hart codierte URLs. Klar, die Verwendung von Tor kann als Vorteil für die Anonymität gewertet werden. Die Kehrseite der Medaille aber ist die Tatsache, dass Admins einfach den Tor-Netzwerkverkehr oder gar die Tor-Anwendung selbst blockieren können.

Die hart codierten URLs sind stark verschleiert, sodass Bedrohungsforscher sie nicht einfach extrahieren können. Weil das Blockieren von URLs eine reaktive Maßnahme ist, kommt es zu Zeitverzögerungen, während derer die Schadsoftware bereits mit den C&C-Servern kommuniziert und den RSA öffentlichen Schlüssel erhalten haben kann, um damit die Dateien zu verschlüsseln.

Der C&C-Server ist nicht dasselbe wie die Bezahlseite. Die Schadsoftware nutzt immer noch Tor für das Bezahlen, sodass die Transaktionen nicht behindert würden, sollte die Polizei versuchen, die Bezahlserver zu schließen.

CryptoWall 3.0 löscht möglicherweise als Vorsichtsmaßnahme die Shadow-Kopien des Systems, um die Wiederherstellung von Dateien in ihren früheren Zustand zu verhindern. Damit haben Opfer keine andere Möglichkeiten, ihre Dateien zu retten.

Nutzen von JavaScript und “JPEGS”

CryptoWall 3.0 kommt über Spam-Mails und nutzt einen JavaScript-Anhang. Im Screenshot erscheint der Anhang als Zusammenfassung innerhalb einer Archivdatei. Eine .JS-Datei (JS_DLOADR.JBNZ, JS_DLOAD.CRYP und JS_DLOADE.XXPU) wird aus der Datei extrahiert. Das mutet seltsam an, denn die Datei-Extensions von solchen Wiederaufnahmen werden mit .DOC, .PDF und .RTF in Verbindung gebracht.

Bild 1. Beispiel einer Spam-Nachricht

Die Wahl einer .JS-Datei lässt sich als Umgehungstechnik interpretieren, denn es ist eine kleine Datei, die von manchen Scannern auch infolge der genutzten Verschleierung im Code übergangen wird.

Bild 2. Screenshot des verschleierten Codes (truncate)

Die weitere Analyse der .JS-Datei zeigte, dass sie Verbindung zu zwei URLs aufnimmt, um angebliche .JPG-Dateien herunterzuladen. Doch die Extension trügt, es handelt sich um eine alte Technik, die schwache IDS-Lösungen täuschen soll. Der Screenshot zeigt, dass tatsächlich eine ausführbare Datei heruntergeladen wird.

Bild 3. MZ- und PE-Signatur der heruntergeladenen ausführbaren Datei tarnt diese als Bild

Die .JS-Datei führt nach dem Download besagte Dateien aus. Die beiden Dateien one.jpg und two.jpg wurden als TROJ_CRYPWAL.YOI und TSPY_FAREIT.YOI erkannt.

Dateiverschlüsselung

TROJ_CRYPWAL.YOI erzeugt eine neue Instanz des explorer.exe, um lokale Adminrechte zu erlangen, vorausgesetzt, das Opfer hat diese Rechte. Die Nutzung eines legitimen Systemprozesses wie explorer.exe könnte der Schadsoftware helfen, Scanner mit Whitelisting zu umgehen. Sie erzeugt eine neue Instanz von svchost.exe mit -k netsvcs Argumenten, die die C&C-Kommunikation und die Dateiverschlüsselung übernehmen. Auch dadurch erlangt das Malware-System Service-Berechtigungen.

Bild 4. Systemmodifikation

Das Bild zeigt, dass die Schadsoftware auch die Shadow-Kopien mit dem Befehl vssadmin.exe Delete Shadows /All /Quiet löscht.

Sobald sie die RSA öffentlichen Schlüssel für die Dateiverschlüsselung von ihrem C&C-Server erhalten hat, beginnt die Malware mit der Verschlüsselung von Dateien mit bestimmten Extensions. Dazu gehören Dokumente, Datenbanken, E-Mails, Bilder, Audio-, Video-Dateien und Quellcode. Dann wird eine beliebige Datei-Extension angehängt und die “HELP_DECRYPT”-Dateien dem betroffenen Verzeichnis hinzugefügt. Diese Dateien werden geöffnet, um dem Opfer die Erpressernachricht anzuzeigen.


Bild 5. Beispiel einer Erpressernachricht

Informationsdiebstahl über FAREIT

TSPY_FAREIT.YOI wird neben TROJ_CRYPWAL.YOI ausgeführt. Während das Opfer durch die Erpressung abgelenkt ist, stiehlt die Spyware die Anmeldedaten, die im FTP-Client, Webbrowsern und sogar Bitcoin Wallets des Systems gespeichert sind.

Es ist das erste Mal, dass die Forscher Crypto-Ransomware mit Spyware kombiniert gesehen haben. Das zeigt, dass sich die Cyberkriminellen nicht mehr mit den Einnahmen aus den Lösegeldforderungen zufriedengeben – etwa 500 $ und das Doppelte nach einer gewissen Zeit.


Bild 6. Erhöhung des Lösegelds

Alle „Einkommensmöglichkeiten“ offen

Mehrere Gründe sind für die Einführung von FAREIT in den Ransomware-Angriffen denkbar. Möglicherweise wollen die Opfer kein Lösegeld zahlen oder sie nutzen einen besseren Schutz für ihre Dateien. Mit der Neuerung ist es gleichgültig, ob die Opfer zahlen wollen, denn die Cyberkriminellen kommen zu ihrem Geld, indem sie vorhandene Bitcoin-Wallets stehen und indem sie die gestohlenen Informationen verkaufen.

Die von Angriffen durch CryptoWall 3.0 am meisten betroffenen Regionen der Welt sind Australien/Neuseeland, gefolgt von Nordamerika und Europa.


Bild 7. Die von CryptoWall 3.0 am meisten betroffenen Regionen

Nutzer können ihre wichtigen Daten über regelmäßiges Backup schützen. Sie können die 3-2-1-Regel für ihre Dateien anwenden. Selbstverständlich sollten auch andere Sicherheitspraktiken angewendet werden: Anwender sollten nie Anhänge aus unbekannten oder nicht verifizierten Quellen und Absendern öffnen. Schließlich ist die Investition in eine Sicherheitslösunge sehr zu empfehlen.

Hashes der zugehörigen Dateien:

  • 0e70b9ff379a4b2ea902d9ef68fac9081ad265e8
  • c39125e297f133ddfe75230f9d2c7dc07cc170b3
  • 6094049baeac8687eed01fc8e8e8e89af8c4f24a
  • a3a49a354af114f54e69c07b88a2880237b134fb
  • 0C615B3DB645215DEC2D9B8A3C964341F777BC78

 

Zusätzliche Analysen von Cris Pantanilla, Gilbert Sison und Sylvia Lascano.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*