Categories: CybersicherheitVirus

Ransomware Locky hat sich nun in den Sperrmodus begeben

Die erstmals im Februar aufgetauchte Erpresser-Software Locky ist in einen verschlüsselten Sperrmodus gewechselt. Darauf hat jetzt der Sicherheitsanbieter Avira hingewiesen. Mittels eines asymmetrischen Public-Key-Verschlüsselungsverfahrens soll die Kommunikation zwischen den mit der Ransomware infizierten Rechnern und den Befehlsservern (Command-&-Control-Server) der Locky-Hintermänner nun verschleiert worden sein.

Avira zufolge ermöglicht dieser Wechsel in den Sperrmodus den Locky-Autoren eine bessere Kontrolle über ihre Netzwerkinfrastruktur, indem sie Sicherheitsforschern das Abfangen ihrer Botnetzaktivitäten erschwert.

“Die Tatsache, dass die Netzwerkkommunikation nun mit einem öffentlichen Schlüssel chiffriert wurde, streut Sand in das Getriebe von Außenstehenden, die Locky bekämpfen wollen. Es ist damit weder möglich, die Aktivitäten der Ransomware nachzuverfolgen noch sie in irgendeiner Form zu beeinträchtigen”, erklärt Moritz Kroll, Sicherheitsforscher bei Avira. Damit werde jetzt ein privater RSA-Schlüssel als Gegenstück zu dem von den Kriminellen eingesetzten Public Key benötigt, um das Netzwerk der Verbrecher anzapfen zu können. “Und den behalten die Locky-Entwickler natürlich für sich”, ergänzt Kroll.

Bisher habe die Erpresser-Software immer einen spezifischen Public Key eingesetzt, um die auf den Rechnern ihrer Opfer befindlichen Dateien zu verschlüsseln. Nun nutze Locky zusätzlich noch einen öffentlichen RSA-Schlüssel, der mit einem speziellen Verschlüsselungsmuster ausgestattet wird, mit dem wiederum die Schlüssel zur Chiffrierung der Kommunikation mit dem Kommandoserver versehen werden.

Im Sperrmodus sendet Locky konkret einen binären Datenblock an der Befehlsserver. Dieser besteht aus einer AES-CTR-verschlüsselten Verbindungszeichenfolge und einem RSA-chiffrierten Block, der sich aus zwei Schlüsseln und einem HMAC-SHA1-Hash zusammensetzt.

Malware (Bild: Shutterstock/Blue Island)

“Der private RSA-Schlüssel ist erforderlich, um die Schlüssel zur Chiffrierung der Verbindungsanfrage und der vom Server kommenden Antwort zu extrahieren. Wenn man diesen RSA-Schlüssel nicht kennt, ist es weder möglich, die Verbindungsanfrage zu verstehen noch sich in die Kommunikation zwischen Opfer-Rechner und Kommandoserver zu schalten, um eine Antwort auszusenden, die der Locky-Trojaner entschlüsseln und verstehen könnte”, erläutert Kroll.

Dadurch werde es für Sicherheitsforscher nun erheblich schwerer, Informationen über die Aktivitäten der Ransomware abzufangen, um etwa Statistiken über Infektionen bereitstellen zu können. So sei es zwar weiterhin möglich, die IP-Adressen der Betroffenen herauszufinden und auch deren Standort zu bestimmen. Allerdings könne man nun nicht länger Informationen über das infizierte Betriebssystem, die potenzielle Anzahl an Opfern oder das von Locky geforderte Lösegeld sammeln.

Avira wertet dies nicht nur als Schutzmaßnahme gegen Sicherheitsexperten, sondern ebenso als präventiven Schritt, andere Cyberkriminelle davon abzuhalten, Kopien der Ransomware zu erstellen. Denn mit AutoLocky gab es laut dem Sicherheitsanbieter bereits einen Abkömmling des Trojaners.

“Es könnte durchaus sein, dass es anderen Kriminellen bereits gelungen ist, die Locky-Kommandoserver zu kompromittieren, um ihre eigenen Public Keys zur Verschlüsselung sowie ihren eigenen Erpresser-Text zu verteilen – darin besteht derzeit auch die einzige Möglichkeit, Locky aufzuhalten”, führt Kroll weiter aus.

Locky verbreitet sich seit Februar vorwiegend über per E-Mail verschickte Word-Dokumente. Der Sicherheitsanbieter Palo Alto Networks hatte den Erpresser-Trojaner damals entdeckt. Die angeblichen Rechnungen enthielten ein Makro, das es Locky ermöglicht, auf den Rechner zu gelangen. Eine ähnliche Technik nutzt auch die Banking-Malware Dridex.

Avira schätzt das von Locky erpresste Lösegeld derzeit auf eine Summe in Höhe zwischen 200 und 15.000 Euro – abhängig von der Größe einer betroffenen Organisation. Die Ransomware befällt den Sicherheitsforschern zufolge vor allem Krankenhäuser und große Unternehmen. Es gilt als nahezu ausgeschlossen, von dem Trojaner verschlüsselte Dateien ohne den Schlüssel der Erpresser zu dechiffrieren.

Zudem gelingt es den Urhebern der Malware, diese immer weiter zu verfeinern. Denn schon Ende April war eine neue Variante von Locky aufgetaucht, auf die Trend Micro hingewiesen hatte. Diese verbreitete sich nicht nur über Sicherheitslücken im Flash Player, sondern ebenso über Schwachstellen im Windows-Kernel.

Bei dieser Locky-Variante werden unter anderem bei den Routinen, die zum Download und zur Installation der Schadsoftware verwendet werden, Windows-System-Prozesse nachgeahmt. Außerdem würden keine Dateien erzeugt und Prozesse nur zur Laufzeit ausgeführt. Dadurch hätten es nicht nur Sicherheitsprogramme schwer, die auf die traditionellen Verhaltensanalyse setzen, sondern auch solche, die bisher als “modern” angesehene Abwehrmechanismen wie Sandbox-Technologien nutzen, erklärt Trend Micro.

Loading ...
Rainer Schneider

Zwischen September 2013 und Juni 2016 war Rainer zunächst als Volontär udn später als Redakteur hauptsächlich für ITespresso im Einsatz, schrieb aber gerne auch Artikel für silicon.de und ZDNet. Schwerpunkte waren IT-Security und Mobile.

View Comments

  • ...Es gilt als nahezu ausgeschlossen, von dem Trojaner verschlüsselte Dateien ohne den Schlüssel der Erpresser zu dechiffrieren. ...

    Ich glaube schon, daß es mit den richtigen Entwicklern möglich wäre.Ist nur eine Frage des preis wie beim Fußball.
    Bei einem lukrativen Angebot würden bestimmt auch einige der kriminellen Entwickler, die irgendwo im Fernen Osten sitzen, genauso die Seiten wechseln, wie Fußball-Spieler die nach England oder Spanien abwandern...

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago