Professionell gestaltete Ransomware Spora könnte die nächste große Sache

Professionell gestaltete Ransomware Spora könnte die nächste große Sache

sein

Sicherheitsforscher haben ein neues Ransomware-Programm namens Spora gefunden, das eine starke Offline-Verschlüsselung durchführen kann und mehrere Innovationen zum Lösegeldmodell bringt.

Die Malware richtet sich an russischsprachige Benutzer, aber ihre Autoren haben auch eine englische Version ihres Entschlüsselungsportals erstellt, was darauf hindeutet, dass sie wahrscheinlich bald ihre Angriffe auf andere Länder ausweiten werden.

Spora zeichnet sich dadurch aus, dass er Dateien verschlüsseln kann, ohne sich mit einem CnC-Server in Verbindung setzen zu müssen und dies in einer Weise zu ermöglichen, dass jedes Opfer einen eindeutigen Entschlüsselungsschlüssel hat. Traditionelle Ransomwareprogramme erzeugen für jede verschlüsselte Datei einen AES-Schlüssel (Advanced Encryption Standard) und verschlüsseln diese Schlüssel dann mit einem öffentlichen RSA-Schlüssel, der von einem CnC-Server generiert wird.

Die Schlüsselschlüssel-Kryptographie wie RSA basiert auf Schlüsselpaaren, die aus einem öffentlichen Schlüssel und einem privaten Schlüssel bestehen. Welche Datei mit einem öffentlichen Schlüssel verschlüsselt wird, kann nur mit dem entsprechenden privaten Schlüssel entschlüsselt werden.

Die meisten Ransomware-Programme kontaktieren einen Befehls- und Steuerserver, nachdem sie auf einem Computer installiert sind und die Erzeugung eines RSA-Schlüsselpaares anfordern. Der öffentliche Schlüssel wird auf den Computer heruntergeladen, aber der private Schlüssel verlässt den Server nie und bleibt im Besitz des Angreifers. Dies ist der Schlüssel, den die Opfer zahlen, um Zugang zu erhalten.

Das Problem mit dem Erreichen eines Servers im Internet nach der Installation von Ransomware besteht darin, dass es einen schwachen Link für Angreifer erzeugt. Wenn der Server beispielsweise von Sicherheitsfirmen bekannt ist und von einer Firewall blockiert wird, wird der Verschlüsselungsvorgang nicht gestartet. Einige ransomware-Programme können so genannte Offline-Verschlüsselung durchführen, aber sie verwenden den gleichen RSA-öffentlichen Schlüssel, der in die Malware für alle Opfer hart codiert ist. Der Nachteil mit diesem Ansatz für Angreifer ist, dass ein Entschlüsselungsinstrument, das einem Opfer gegeben wird, für alle Opfer arbeiten wird, weil sie den gleichen privaten Schlüssel auch teilen.

Die Spora-Entwickler haben dieses Problem gelöst, so die Forscher von der Sicherheitsfirma Emsisoft, die die Verschlüsselungsroutine des Programms analysierte.

Die Malware enthält einen hartcodierten öffentlichen RSA-Schlüssel, der jedoch zur Verschlüsselung eines eindeutigen AES-Schlüssels verwendet wird, der lokal für jedes Opfer generiert wird. Dieser AES-Schlüssel wird dann verwendet, um den privaten Schlüssel von einem öffentlich-privaten RSA-Schlüsselpaar zu verschlüsseln, das auch lokal erzeugt und für jedes Opfer einmalig ist. Schließlich wird der öffentliche RSA-Schlüssel des Opfers verwendet, um die AES-Schlüssel zu verschlüsseln, die verwendet werden, um einzelne Dateien zu verschlüsseln. Mit anderen Worten, die Spora-Schöpfer haben eine zweite Runde von AES und RSA-Verschlüsselung hinzugefügt, was andere Ransomware-Programme bisher getan haben.

Wenn Opfer das Lösegeld bezahlen wollen, müssen sie ihre verschlüsselten AES-Schlüssel auf die Website der Angreifer laden. Die Angreifer benutzen dann ihren Master-RSA-privaten Schlüssel, um ihn zu entschlüsseln und zurück zum Opfer zurückzugeben – wahrscheinlich in einem Entschlüsselungswerkzeug gebündelt.

Der Entschlüsseler verwendet diesen AES-Schlüssel, um den einzigartigen privaten RSA-Schlüssel des Opfers, der lokal erzeugt wurde, zu entschlüsseln, und dieser Schlüssel wird dann verwendet, um die AES-Schlüssel für die Wiederherstellung der Dateien zu entschlüsseln.

Auf diese Weise kann Spora ohne die Notwendigkeit eines Kommando- und Steuerservers operieren und vermeiden, einen Hauptschlüssel freizugeben, der für alle Opfer arbeitet, sagten die Emsisoft-Forscher in einem Blogpost. „Nach der Auswertung der Art und Weise, wie Spora seine Verschlüsselung durchführt, gibt es keine Möglichkeit, verschlüsselte Dateien ohne Zugriff auf den privaten Schlüssel des Malware-Autors wiederherzustellen.“

Andere Aspekte von Spora unterscheiden ihn auch von anderen Ransomware-Operationen. Zum Beispiel haben ihre Schöpfer ein System implementiert, das es ihnen ermöglicht, verschiedene Lösegeld für verschiedene Arten von Opfern zu stellen.

Die verschlüsselten Schlüsseldateien, die Opfer auf die Zahlungen-Website hochladen müssen, enthalten außerdem die von der Malware über infizierten Computern gesammelten Identifizierungsinformationen, einschließlich eindeutiger Kampagnen-IDs.

Das heißt, wenn die Angreifer eine Spora-Verteilerkampagne starten, die speziell auf Unternehmen ausgerichtet ist, können sie feststellen, wann Opfer dieser Kampagne versuchen werden, ihren Entschlüsselungsdienst zu nutzen. Dies ermöglicht es ihnen, automatisch die Lösegeldmenge für Verbraucher oder Organisationen oder sogar für Opfer in verschiedenen Regionen der Welt anzupassen.

Darüber hinaus bietet die Spora-Gruppe neben der Datei-Entschlüsselung auch andere „Dienste“, die gesondert bezahlt werden, wie zB „Immunität“, wodurch sichergestellt wird, dass die Malware keinen Computer mehr infiziert oder “ Die auch das Programm nach der Entschlüsselung der Dateien entfernen wird. Sie bieten auch ein komplettes Paket, wo das Opfer alle drei zu einem niedrigeren Preis kaufen kann.

Die Zahlungen Website selbst ist gut gestaltet und sieht professionell aus. Es verfügt über eine integrierte Live-Chat-Funktion und die Möglichkeit, Rabatte. Von dem, was die Emsisoft Forscher beobachteten, reagieren die Angreifer sofortAuf Nachrichten.

Das macht Spora zu einem professionellen und gut finanzierten Unternehmen. Die Lösegeldwerte, die bisher beobachtet wurden, sind niedriger als die, die von anderen Banden gefordert wurden, was darauf hinweisen könnte, dass die Gruppe hinter dieser Bedrohung sich schnell etablieren will.

Bisher haben die Forscher Spora über schüchterne E-Mail-Anhänge, die als Rechnungen von einem Buchhaltungssoftware-Programm beliebt in Russland und anderen russischsprachigen Ländern zu sehen. Die Anhänge befinden sich in Form von HTML-Dateien, die schädlichen JavaScript-Code enthalten.

quelle: q , q

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.