Erpressungs-Trojaner Locky nun mit Autopilot
Sicherheitsforschern zufolge kann Locky sein Schadenswerk jetzt auch offline ohne Kontakt zum Command-and-Control-Server der Kriminellen verrichten.
(Bild: Santeri Viinamäki, CC BY-SA 2.0 )
Die Ransomware Locky hat dazugelernt und kann nun auch Daten auf Windows-Computern verschlüsseln, die nicht an das Internet angebunden sind, erläutern Sicherheitsforscher von Avira. In vorigen Versionen konnte der Schädling auf Offline-Systemen nichts ausrichten, da die Drahtzieher die Verschlüsselung erst über einen vom Command-and-Control-Server (C&C) aus gesendeten Befehl anstoßen konnten.
Der neue Ansatz bringt zudem mit sich, dass Locky für Offline-Opfer keine individuellen RSA-Schlüssel (Public Key) für die Verschlüsselung erzeugt. In der Vergangenheit wurde der für die Entschlüsselung benötigte geheime Schlüssel außer der Reichweite der Opfer auf dem C&C-Server verwahrt. Wo sich dieser nun befindet, ist derzeit nicht bekannt.
Nicht nur Vorteile
Ohne C&C-Server können die Kriminellen noch besser im Verborgenen arbeiten, schließlich benötigen sie keine kostenintensive Server-Infrastruktur mehr, deren Standort sie verschleiern müssen. Für die Bezahlung des Lösegelds setzt Locky aber weiterhin auf URLs, die auf Hidden Services in das anonymisierte Tor-Netzwerk verweisen.
Strafverfolgungsbehörden haben ohne C&C-Server noch weniger Ansatzpunkte für Ermittlungen. Doch die Umstellung bringt nicht nur Vorteile für die Kriminellen mit sich und sie müssen auf Infektions-Statistiken der C&C-Server verzichten.
Neuer Loader
In der Regel versuchen Kriminelle Opfer mit gefälschten E-Mails dazu zu bringen, den Datei-Anhang dieser Mails zu öffnen, um so eine Infektion einzuleiten. Doch im Anhang befindet sich nicht direkt der Schädling, sondern ein Office-Dokument mit Makro-Code oder ein Skript, das nach dem Öffnen den Schädling auf den Computer holt. Dafür kommen sogenannte Loader zum Einsatz.
Neuerdings soll Locky über den Quant Loader auf Computer gelangen, berichten Sicherheitsforscher von Forcepoint. Der Loader werde in russischen Untergrund-Foren zum Verkauf angeboten und wirbt neben dem Download von Schädlingen unter anderem auch mit der Möglichkeit, Nutzer-Rechte erhöhen zu können. Letzteres können die Sicherheitsforscher aber nicht bestätigen.
Zudem lockt der Anbieter damit, dass der Quant Loader von Grund auf neu entwickelt wurde und sich effektiv vor Viren-Wächtern verstecken kann. Einer Analyse von Forcepoint zufolge ist das aber nicht der Fall und der Quant Loader baut auf dem Code des Madness DDoS Systems auf, das bereits von vielen Viren-Wächtern erkannt wird. (des)
