Ransomware KeyPass erlaubt maßgeschneiderte Angriffe

Die neue Malware-Variante verbreitet sich durch gefälschte Software-Installer in über 20 Ländern. Sie erscheint relativ einfach, hat aber eine versteckte "manuelle" Option für raffiniertere Attacken.

Sicherheitsforschern ist eine neue Form von Ransomware durch weltweite Verbreitung seit dem 8. August 2018 aufgefallen. Dabei weisen Brasilien und Vietnam die höchsten Infektionszahlen auf, aber auch Opfer in Regionen einschließlich Afrika, Europa, Nahost und weiteren südamerikanischen sowie asiatischen Ländern sind betroffen.

Ransomware (Bild: Shutterstock)Kaspersky Lab untersuchte eine Probe der Windows-Malware und fand heraus, dass der Code in C++ geschrieben und mit MS Visual Studio kompiliert wurde. Bei der Entwicklung kamen die Bibliotheken MFC, Boost und Crypto++ zum Einsatz. Der Header verrät ein kürzliches Kompilierungsdatum.

Auf dem Opfer des Computers kopiert die Malware ihre ausführbare Datei auf %LocalAppData% und startet sie, um sich dann selbst vom ursprünglichen Ort zu löschen. Anschließend erstellt sie mehrere Kopien des eigenen Prozesses und gibt Kodierungsschlüssel sowie eine ID für das jeweilige Opfer als Befehlszeilen-Argumente weiter. Beide bezieht sie gleich nach dem Start von einem Befehls- und Kontrollserver, kann aber bei einem System ohne Internetverbindung auf feste Vorgaben zurückgreifen.

Alle verschlüsselten Dokumente, Fotos, Datenbanken und weiteren wichtigen Dateien auf dem Rechner des Opfers erhalten die Erweiterung .KEYPASS. Danach wurde die Malware auch benannt – mit einer nur zufälligen Namensähnlichkeit zum Open-Source-Passwortmanager KeePass. Die Lösegeldforderung verlangt sodann den Kauf einer „Entschlüsselungs-Software“ sowie einmaligem privatem Schlüssel für 300 Dollar, wenn Betroffene wieder an die eigenen Daten kommen wollen – mit einem angedrohten höheren Preis nach Ablauf von drei Tagen. Eine Zahlungsmethode ist nicht genannt, vielmehr sollen die Opfer über eine in der Schweiz registrierte E-Mail-Adresse – mit einer indischen Ersatzadresse – mit den Kriminellen Kontakt aufnehmen und von ihnen weitere Instruktionen erhalten.

Als interessantestes Feature des KeyPass-Trojaners sieht Kaspersky die Fähigkeit, eine „manuelle Kontrolle“ zu übernehmen. Er enthält ein verstecktes Formular, dass erst durch einen bestimmten Tastendruck sichtbar zu machen ist. „Diese Fähigkeit könnte darauf hindeuten, dass die kriminellen Hintermänner den Trojaner für manuelle Angriffe einsetzen wollen“, schreiben die Sicherheitsforscher.

Mit veränderbaren Parametern können Angreifer somit für einen maßgeschneiderten Angriff sorgen. Anpassen lassen sich dabei der Kodierungsschlüssel, Titel und Text der Lösegeldforderung, Opfer-ID, Erweiterung der verschlüsselten Dateien sowie die Liste der von der Verschlüsselung auszunehmenden Pfade.

HIGHLIGHT

Report: Entwicklung der Cloud-Nutzung

McAfee befragte im Rahmen der jährlichen Forschungsstudie zur Cloud-Sicherheit und der Migration zur Cloud mehr als 1.400 IT-Experten. Dieser Bericht zeigt den Stand der Dinge bei Cloud-Sicherheit auf und bietet praktische Hinweise. Jetzt herunterladen!

[mit Material von Danny Palmer, ZDNet.com]

Themenseiten: Kaspersky, Malware, Ransomware, Sicherheit, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Ransomware KeyPass erlaubt maßgeschneiderte Angriffe

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *