Categories: CybersicherheitVirus

Ransomware Locky hat sich nun in den Sperrmodus begeben

Die erstmals im Februar aufgetauchte Erpresser-Software Locky ist in einen verschlüsselten Sperrmodus gewechselt. Darauf hat jetzt der Sicherheitsanbieter Avira hingewiesen. Mittels eines asymmetrischen Public-Key-Verschlüsselungsverfahrens soll die Kommunikation zwischen den mit der Ransomware infizierten Rechnern und den Befehlsservern (Command-&-Control-Server) der Locky-Hintermänner nun verschleiert worden sein.

Avira zufolge ermöglicht dieser Wechsel in den Sperrmodus den Locky-Autoren eine bessere Kontrolle über ihre Netzwerkinfrastruktur, indem sie Sicherheitsforschern das Abfangen ihrer Botnetzaktivitäten erschwert.

“Die Tatsache, dass die Netzwerkkommunikation nun mit einem öffentlichen Schlüssel chiffriert wurde, streut Sand in das Getriebe von Außenstehenden, die Locky bekämpfen wollen. Es ist damit weder möglich, die Aktivitäten der Ransomware nachzuverfolgen noch sie in irgendeiner Form zu beeinträchtigen”, erklärt Moritz Kroll, Sicherheitsforscher bei Avira. Damit werde jetzt ein privater RSA-Schlüssel als Gegenstück zu dem von den Kriminellen eingesetzten Public Key benötigt, um das Netzwerk der Verbrecher anzapfen zu können. “Und den behalten die Locky-Entwickler natürlich für sich”, ergänzt Kroll.

Bisher habe die Erpresser-Software immer einen spezifischen Public Key eingesetzt, um die auf den Rechnern ihrer Opfer befindlichen Dateien zu verschlüsseln. Nun nutze Locky zusätzlich noch einen öffentlichen RSA-Schlüssel, der mit einem speziellen Verschlüsselungsmuster ausgestattet wird, mit dem wiederum die Schlüssel zur Chiffrierung der Kommunikation mit dem Kommandoserver versehen werden.

Im Sperrmodus sendet Locky konkret einen binären Datenblock an der Befehlsserver. Dieser besteht aus einer AES-CTR-verschlüsselten Verbindungszeichenfolge und einem RSA-chiffrierten Block, der sich aus zwei Schlüsseln und einem HMAC-SHA1-Hash zusammensetzt.

Malware (Bild: Shutterstock/Blue Island)

“Der private RSA-Schlüssel ist erforderlich, um die Schlüssel zur Chiffrierung der Verbindungsanfrage und der vom Server kommenden Antwort zu extrahieren. Wenn man diesen RSA-Schlüssel nicht kennt, ist es weder möglich, die Verbindungsanfrage zu verstehen noch sich in die Kommunikation zwischen Opfer-Rechner und Kommandoserver zu schalten, um eine Antwort auszusenden, die der Locky-Trojaner entschlüsseln und verstehen könnte”, erläutert Kroll.

Dadurch werde es für Sicherheitsforscher nun erheblich schwerer, Informationen über die Aktivitäten der Ransomware abzufangen, um etwa Statistiken über Infektionen bereitstellen zu können. So sei es zwar weiterhin möglich, die IP-Adressen der Betroffenen herauszufinden und auch deren Standort zu bestimmen. Allerdings könne man nun nicht länger Informationen über das infizierte Betriebssystem, die potenzielle Anzahl an Opfern oder das von Locky geforderte Lösegeld sammeln.

Avira wertet dies nicht nur als Schutzmaßnahme gegen Sicherheitsexperten, sondern ebenso als präventiven Schritt, andere Cyberkriminelle davon abzuhalten, Kopien der Ransomware zu erstellen. Denn mit AutoLocky gab es laut dem Sicherheitsanbieter bereits einen Abkömmling des Trojaners.

“Es könnte durchaus sein, dass es anderen Kriminellen bereits gelungen ist, die Locky-Kommandoserver zu kompromittieren, um ihre eigenen Public Keys zur Verschlüsselung sowie ihren eigenen Erpresser-Text zu verteilen – darin besteht derzeit auch die einzige Möglichkeit, Locky aufzuhalten”, führt Kroll weiter aus.

Locky verbreitet sich seit Februar vorwiegend über per E-Mail verschickte Word-Dokumente. Der Sicherheitsanbieter Palo Alto Networks hatte den Erpresser-Trojaner damals entdeckt. Die angeblichen Rechnungen enthielten ein Makro, das es Locky ermöglicht, auf den Rechner zu gelangen. Eine ähnliche Technik nutzt auch die Banking-Malware Dridex.

Avira schätzt das von Locky erpresste Lösegeld derzeit auf eine Summe in Höhe zwischen 200 und 15.000 Euro – abhängig von der Größe einer betroffenen Organisation. Die Ransomware befällt den Sicherheitsforschern zufolge vor allem Krankenhäuser und große Unternehmen. Es gilt als nahezu ausgeschlossen, von dem Trojaner verschlüsselte Dateien ohne den Schlüssel der Erpresser zu dechiffrieren.

Zudem gelingt es den Urhebern der Malware, diese immer weiter zu verfeinern. Denn schon Ende April war eine neue Variante von Locky aufgetaucht, auf die Trend Micro hingewiesen hatte. Diese verbreitete sich nicht nur über Sicherheitslücken im Flash Player, sondern ebenso über Schwachstellen im Windows-Kernel.

Bei dieser Locky-Variante werden unter anderem bei den Routinen, die zum Download und zur Installation der Schadsoftware verwendet werden, Windows-System-Prozesse nachgeahmt. Außerdem würden keine Dateien erzeugt und Prozesse nur zur Laufzeit ausgeführt. Dadurch hätten es nicht nur Sicherheitsprogramme schwer, die auf die traditionellen Verhaltensanalyse setzen, sondern auch solche, die bisher als “modern” angesehene Abwehrmechanismen wie Sandbox-Technologien nutzen, erklärt Trend Micro.

Loading ...
Rainer Schneider

Zwischen September 2013 und Juni 2016 war Rainer zunächst als Volontär udn später als Redakteur hauptsächlich für ITespresso im Einsatz, schrieb aber gerne auch Artikel für silicon.de und ZDNet. Schwerpunkte waren IT-Security und Mobile.

View Comments

  • ...Es gilt als nahezu ausgeschlossen, von dem Trojaner verschlüsselte Dateien ohne den Schlüssel der Erpresser zu dechiffrieren. ...

    Ich glaube schon, daß es mit den richtigen Entwicklern möglich wäre.Ist nur eine Frage des preis wie beim Fußball.
    Bei einem lukrativen Angebot würden bestimmt auch einige der kriminellen Entwickler, die irgendwo im Fernen Osten sitzen, genauso die Seiten wechseln, wie Fußball-Spieler die nach England oder Spanien abwandern...

Recent Posts

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

16 Stunden ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

17 Stunden ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

18 Stunden ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

5 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

5 Tagen ago