23.07.2014, 14:42 Uhr
Erpresser-Software wird noch fieser
Cyberkriminelle bringen derzeit eine neue Ransomware in Umlauf, die noch effizienter Dateien verschlüsselt und noch schwieriger zu bekämpfen ist.
Eine noch perfidere Ransomware beginnt die Runde zu machen
Die jüngste Generation von Erpresser-Software (Ransomware) wird CTB-Locker (Curve-Tor-Bitcoin) genannt, wobei Microsofts Anti-Malware-Produkte den Schädling als Critroni.A identifiziert. Der Ersteller der Ransomware wirbt mit seiner Entwicklung seit Mitte Juni auf russischsprachigen, einschlägigen Foren für den fiesen Code. Unter anderem soll CTB-Locker die Schwächen von Cryptolocker beheben. Dieser Erpresser-Software wurde vor Kurzem ein heftiger Schlag zugeführt, als US-Behörden das Botnet «Gameover Zeus» zerschlugen, das Bitlocker verteilen half.
Die «Verbesserungen» aus Sicht der Cyberkriminellen in Sachen Critroni sind vor allem zweierlei: Zum einen verwendet die neue Ransomware eine Dateiverschlüsselung, die auf Elliptischer-Kurven-Kryptografie (Elliptic Curve Cryptography; ECC) beruht. Laut dem Entwickler ist diese schneller als die Kryptoverfahren anderer Ransomware-Varianten. Zudem ist die Verschlüsselung viel stärker, sodass man kaum ohne den richtigen Schlüssel mehr an seine Daten gelangen kann.
Zum zweiten versteckt Critroni die Losung besser. Wie Cryptolocker verwendet auch der CTB-Locker ein Paar aus öffentlichem und privatem Schlüssel. Während der öffentliche Key auf dem System des Opfers gespeichert wird, ist der private Schlüssel - und nur mit diesem lassen sich die Dateien nach der Bezahlung der Erpressersumme in Bitcoins entschlüsseln - auf einem Kommandoserver abgelegt, der nur über das anonyme Netzwerk Tor erreicht werden kann. Dies ist eine geschickte Vorkehrung der Cyberkriminellen, denn damit wird es für die Strafverfolger oder Security-Spezialisten ungemein schwierig, den Server zu identifizieren und schlussendlich zu schliessen.
Darüber hinaus Critroni-Urherber dafür gesorgt, dass ihrer Malware nicht das gleiche Schicksal ereilt wie Bitlocker. Dieser konnte ausser Gefecht gesetzt werden, in dem das zugehörige Botnet zerschlagen wurde. So verschlüsselt der CTB-Locker die Dateien lokal, bevor er sich mit dem Kommando-Server in Verbindung setzt. Wird nun das Tor-Netz blockiert, wird nur die Zahlung des Lösegeldes verunmöglicht, nicht aber die Funktionsweise von Critron. Darüber hinaus führt das lokale Wirken der Malware, also die mangelnde Kommunikation mit dem Kontroll-Server, dazu, dass viele Netzwerk-Sicherheits-Produkte, die den Verkehr analysieren, keine Anomalien feststellen können.
Eine erste Version von Critroni richtete sich hauptsächlich an russisch-sprechende Opfer. Mittlerweile werden die Erpressungs-Mitteilungen auch auf Englisch verschickt.
Die «Verbesserungen» aus Sicht der Cyberkriminellen in Sachen Critroni sind vor allem zweierlei: Zum einen verwendet die neue Ransomware eine Dateiverschlüsselung, die auf Elliptischer-Kurven-Kryptografie (Elliptic Curve Cryptography; ECC) beruht. Laut dem Entwickler ist diese schneller als die Kryptoverfahren anderer Ransomware-Varianten. Zudem ist die Verschlüsselung viel stärker, sodass man kaum ohne den richtigen Schlüssel mehr an seine Daten gelangen kann.
Zum zweiten versteckt Critroni die Losung besser. Wie Cryptolocker verwendet auch der CTB-Locker ein Paar aus öffentlichem und privatem Schlüssel. Während der öffentliche Key auf dem System des Opfers gespeichert wird, ist der private Schlüssel - und nur mit diesem lassen sich die Dateien nach der Bezahlung der Erpressersumme in Bitcoins entschlüsseln - auf einem Kommandoserver abgelegt, der nur über das anonyme Netzwerk Tor erreicht werden kann. Dies ist eine geschickte Vorkehrung der Cyberkriminellen, denn damit wird es für die Strafverfolger oder Security-Spezialisten ungemein schwierig, den Server zu identifizieren und schlussendlich zu schliessen.
Darüber hinaus Critroni-Urherber dafür gesorgt, dass ihrer Malware nicht das gleiche Schicksal ereilt wie Bitlocker. Dieser konnte ausser Gefecht gesetzt werden, in dem das zugehörige Botnet zerschlagen wurde. So verschlüsselt der CTB-Locker die Dateien lokal, bevor er sich mit dem Kommando-Server in Verbindung setzt. Wird nun das Tor-Netz blockiert, wird nur die Zahlung des Lösegeldes verunmöglicht, nicht aber die Funktionsweise von Critron. Darüber hinaus führt das lokale Wirken der Malware, also die mangelnde Kommunikation mit dem Kontroll-Server, dazu, dass viele Netzwerk-Sicherheits-Produkte, die den Verkehr analysieren, keine Anomalien feststellen können.
Eine erste Version von Critroni richtete sich hauptsächlich an russisch-sprechende Opfer. Mittlerweile werden die Erpressungs-Mitteilungen auch auf Englisch verschickt.
