Ransomware Locky kommuniziert jetzt verschlüsselt

Die Ransomware Locky erschwert das Abhören der Kommunikation zwischen den infizierten Rechnern und den Command-and-Control-Servern jetzt durch Public-Key-Verschlüsselung.

Die Ransomware Locky gab im Februar ihr Debüt und machte mit der Verschlüsselung von Dateien und der Lahmlegung ganzer Krankenhäuser und Großunternehmen Schlagzeilen. Der Verschlüsselungstrojaner verbreitet sich hauptsächlich per E-Mail. Durch Social Engineering werden Benutzer dazu verleitet, das Downloadprogramm zu öffnen und damit zu aktivieren. Je nach Unternehmensgröße beträgt die Lösegeldsumme zwischen 200 EUR und 15.000 EUR. Es ist nahezu unmöglich, die Dateien ohne den Schlüssel der Locky-Entwickler wieder zu entschlüsseln.

Durch die besagte Umstellung kann die Ransomware nun noch besser im Verborgenen wirken. Die Netzwerkinfrastruktur der Locky-Hintermänner ist weniger angreifbar und Sicherheitsexperten wird das Analysieren der Botnetz-Aktivitäten beträchtlich erschwert.

Locky-decrypted-response

„Die Public-Key-Verschlüsselung der Netzwerkkommunikation macht es für Außenstehende ungleich schwieriger, die Aktivitäten von Locky nachzuvollziehen oder gar zu beeinflussen“, erklärt Moritz Kroll, Malware-Experte bei Avira. „Sie bräuchten nun den privaten RSA-Schlüssel ‒ die andere Hälfte des Schlüsselpaars ‒, um die Netzwerkkommunikation zu analysieren. Und den behalten die Locky-Entwickler naturgemäß lieber für sich.“

Locky nutzte bislang für jedes seiner Opfer einen eigenen öffentlichen Schlüssel zur Datei-Verschlüsselung. Jetzt wird zusätzlich ein öffentlicher RSA-Schlüssel zusammen mit der Beispieldatei versendet, um die Schlüssel für die Kommunikation mit dem Command-and-Control-Server zu verschlüsseln. Locky sendet dem Opfer mittlerweile ein Binärobjekt mit einer mit AES-CTR verschlüsselten Verbindungszeichenfolge sowie einen mit RSA verschlüsselten Datenblock mit zwei Schlüsseln und einem HMAC-SHA-1-Hash.

„Der private RSA-Schlüssel wird benötigt, um die Schlüssel für die Verbindungsanfrage und die Antwort des Servers zu dechiffrieren. Anschließend erfolgt noch eine Entschlüsselung der Anforderungsnachricht und eine Hashüberprüfung. Ohne diesen RSA-Schlüssel ist es nicht möglich, die Anfrage zu verstehen oder eine Antwort zu generieren, die der Trojaner entschlüsseln und verstehen kann“, erläutert Kroll.

Für Sicherheitsexperten wird es dadurch bedeutend schwieriger, die Aktivitäten von Locky mitzuverfolgen. Bisher waren sie in der Lage, die Kommunikation mit Domains, die durch den Domain-Generation-Algorithmus (DGA) von Locky generiert worden waren, umzuleiten und auf diese Weise Statistiken zu Infektionen und den Aktivitäten des Trojaners zu erstellen:

Previously available information on Locky victims

Nach der Änderung lassen sich zwar über einen Sinkhole-Server weiterhin die IP-Adressen der Opfer und ihr geografischer Standort ermitteln. Informationen zu den infizierten Betriebssystemen, dem Umfang der Infektion und der Lösegeldsumme (ohne Mehrwertsteuer) kann er jedoch nicht mehr sammeln.

Nachdem sich Diebe meist keinem Ehrenkodex verpflichtet fühlen, könnte die Verschlüsselung eine Präventivmaßnahme sein, die sicherstellen soll, dass niemand den Entwicklern der Ransomware ihr Unternehmen und die „Marke Locky“ streitig macht. Andere Cyberkriminelle haben sich bereits an Kopien der erfolgreichen Ransomware wie zum Beispiel AutoLocky versucht.

„Möglicherweise ist es anderen Hackern gelungen, die Kommunikation mit den Command-and-Control-Servern von Locky umzuleiten, um eigene öffentliche Schlüssel mit einem eigenen Erpresserbrief zu verbreiten, und die Locky-Entwickler wollen ihnen nun durch die Verschlüsselung das Handwerk legen“, mutmaßt Kroll. „Vielleicht sind die Urheber der Malware verärgert, weil sie bei sich denken: ‚Wir haben die ganze Entwicklungsarbeit geleistet und jetzt will ein anderer unser schwer verdientes Geld einheimsen‘.“

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.