Locky ransomware autopilot

Die Locky Ransomware schaltet in den Autopilot

Die neusten Konfigurationen der Locky Ransomware haben eine verbesserte Autopilot-Funktion, die die Netzwerkkommunikation komplett ausschließt und der Malware ermöglicht, die Dateien der Opfer ohne Anweisungen der Command-and-Control-Server zu verschlüsseln.

„Dank diesem Schritt müssen sie nicht mehr Katz und Maus spielen und ständig neue Server einrichten, bevor alle zur Blockierliste hinzugefügt oder abgeschaltet werden‟, sagte Moritz Kroll, Spezialist für Malware am Avira Malware Research Center.

Die Änderungen ermöglichen es den Entwicklern der Locky-Malware im Stealth-Modus und damit versteckter vor den Sicherheitsforschern zu operieren und ihre Kosten zur Infrastrukturförderung zu senken.  Bisher enthielt die Konfiguration von Locky einige Command-and-Control- (CnC) URLs sowie Parameter für Algorithmen zur Domain-Generierung (DGA), um zusätzliche CnC-URLs erstellen zu können.

Locky ransomware autopilot

„Die jetzige Variante ist eine Feinabstimmung des Offline-Infektionsmodus der Malware-Entwickler. Indem sie die Online-Aktivitäten ihres Codes minimieren, müssen sie nicht mehr für so viele Server und Domains bezahlen‟ sagte Moritz Kroll, Spezialist für Malware am Avira Malware Research Center.  „Aber sie bekommen auch keine ‚netten‛ Infektionsstatistiken mehr in Bezug auf ihre Arbeit.‟

DGAs sind üblicherweise zeitabhängige Formeln zur Erstellung einer großen Anzahl an Domainnamen, die Malware nutzen kann, um sich mit den CnC- zu verbinden. Während diese Aktivität potenziell eine Wolke aus Fehlinformationen produziert, generiert sie auch ein sichtbares Wirrwarr aus Netzwerkaktivität bei den DGA-Domains, die von Sicherheitsforschern in die Versenkung geschickt wurden.

„DGAs können zwar verwendet werden, um eine große Anzahl von Domainnamen zu erstellen, aber Locky hat nur jeden zweiten Tag 12 Domains verwendet‟, erklärte Kroll.  „Die Veränderungen sind eine Mischung aus Kostenoptimierung und der Taktik, weniger Spuren zu hinterlassen, denen die Vollzugsbehörden folgen können.‟

Für die Bezahlung enthält die Konfiguration immer noch URLs, die auf den versteckten Dienst der Malware-Autoren im Tor-Netzwerk hinweisen. „Die Malware-Autoren müssen zwar immer noch für den Spam und die Verteilung über Exploit-Kits bezahlen, haben aber ihre technologischen Anforderungen vereinfacht.‟

Mit der neuesten Konfiguration führen die Malware-Autoren ihre bisherige Strategie fort, für alle „Offline-Opfer‟ des gleichen Samples der Locky Ransomware einen öffentlichen Schlüssel zusammen mit einer speziellen ID-Nummer zu verwenden, statt für jeden Benutzer einen öffentlichen Schlüssel zu generieren.

Referenzbeispiel: https://www.virustotal.com/en/file/608448984cf46274241009f7697b34b4e8a4cea8e9b712c1e4ea65a08d6e706a/analysis/

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.