Locky ransomware takes the wheel again

Locky übernimmt wieder das Steuer

Locky hat die Methode, nur im Offline-Modus ausgeführt zu werden, wieder aufgegeben und die Locky-Affiliates gehen wieder dazu über, Command-and-Control- (CnC) Informationen in ihre Konfiguration einzubeziehen. Dadurch sinkt die Zahl der Affiliates, die ausschließlich im Offline-Modus arbeiten.

„Vielleicht hat es nicht so gut funktioniert, wie sie erwartet haben. Oder sie waren einfach neugierig, wie viele erfolgreiche Infektionen es gab‟, sagte Moritz Kroll, Spezialist für Malware am Avira Malware Research Center.

Die Verbreitung einer Locky-Konfiguration, die keine CnC-Verbindung braucht, ist für Cyberkriminelle ein zweischneidiges Schwert. Einerseits bleibt das Locky Netzwerk vor Vollzugsbehörden und Sicherheitsforschern verborgen, wenn es keine CnC-Informationen– und keine IP-Adresse – herausgibt. Aber andererseits bekommen die Cyberkriminellen weniger Feedback zur Effektivität von individuellen Locky-Verteilungskampagnen, die von ihren Affiliates ausgeführt werden.

„Ab dem 16. September enthielt zuerst Affiliate 13 wieder CnC-Informationen in der Konfiguration, während Affiliates 1 und 3 sich noch immer nur im Offline-Modus befanden. Am 19. September waren dann auch Affiliates 1 und 5 mit CnCs zurück. Im Moment scheinen nur Affiliates 3 und 21 noch dem neuen Autopilot-Modell zu folgen‟, erklärte Kroll.

Wenn Locky sich im Autopilot befindet, sind die Elemente zur Netzwerkkommunikation deaktiviert, sodass es der Ransomware möglich ist, die Dateien der Opfer ohne Anweisungen von CnC-Zentren zu verschlüsseln und besser vor den Sicherheitsforschern verborgen zu bleiben.


ZUGEHÖRIGER ARTIKEL

https://blog.avira.com/de/locky-schaltet-autopilot/


Affiliate-Netzwerke tragen viel zum Wachstum von Ransomware-as-a-Service (RaaS) bei, wo Affiliates bezahlt werden, wenn die Opfer das geforderte Lösegeld bezahlen. Während Netzwerke in diesem Fall oft individuell an ein bestimmtes Segment oder Produkt angepasst werden, gilt dennoch das gleiche grundlegende Prinzip: „Wenn man den Verkehr/die Installationen bietet, bekommt man dafür das Geld, egal ob es sich um Ransomware, PUA oder Adware handelt‟, fügte er hinzu. “Die Affiliate-ID dient als Erkennung, damit man weiß, wer das Geld bekommt.”

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.