Eine kurze Geschichte der Ransomware

Die Anfänge

Das erste dokumentierte Beispiel für eine Ransomware ist der AIDS-Trojaner aus dem Jahr 1989, auch bekannt als PC Cyborg¹. Der in Harvard ausgebildete Evolutionsbiologe Joseph L. Popp schickte 20.000 infizierte Disketten mit der Beschriftung „AIDS Information – Introductory Diskettes“ an Teilnehmer der Welt-AIDS-Konferenz der Weltgesundheitsorganisation.

Beim 90. Systemstart blendete der Trojaner Verzeichnisse aus und verschlüsselte die Namen der Dateien auf dem betreffenden Computer. Um wieder auf die Daten zugreifen zu können, sollten die Opfer 189 US-Dollar an die Firma PC Cyborg Corp. mit einem Postfach in Panama schicken. Dr. Popp wurde schließlich gefasst, allerdings nie verurteilt, da er als verhandlungsunfähig erklärt wurde. Laut Angaben seines Anwalts begann er damit, einen Karton auf dem Kopf zu tragen, um sich vor Strahlung zu schützen².

Das Internet-Zeitalter

Mit dem wachsenden Internet wurde es plötzlich sehr viel einfacher Popps Erpressermethode praktisch umzusetzen. Cyber-Kriminelle erkannten schnell, dass sich mit Ransomware im großen Stil Geld verdienen ließ.

2006 begannen kriminelle Organisationen, die effektivere asymmetrische RSA-Verschlüsselung einzusetzen.

• Der Trojaner Archiveus³ verschlüsselte sämtliche Dateien im Ordner „Eigene Dateien“ und forderte die Opfer auf bei einer Online-Apotheke einzukaufen. Nur dann würden sie das 30-stellige Passwort erhalten.
• Der Verschlüsselungstrojaner GPcode⁴, anfangs über einen als Bewerbung getarnten E-Mail-Anhang verbreitet, verwendete einen 660 Bit langen, öffentlichen RSA-Schlüssel. Zwei Jahre später nutzte eine Variante (GPcode.AK) einen 1.024 Bit langen RSA-Schlüssel.

Die neue Welle

Ab 2011 kam Ransomware dann so richtig in Mode. Im dritten Quartal 2011 wurden 60.000 neue Ransomware-Varianten entdeckt. Im dritten Quartal 2012 waren es mit über 200.000 schon mehr als dreimal so viele⁵. Vom dritten Quartal 2014 bis zum ersten Quartal 2015 stieg die Anzahl der neuen Varianten um mehr als das Sechsfache.

Es gibt mittlerweile unglaublich viele Ransomware-Varianten, und diese Entwicklung ist alles andere als rückläufig. Hier ein paar wichtige Namen, die Sie kennen sollten:

CryptoLocker – September 2013⁶

• Gelangt normalerweise per E-Mail in Unternehmen.
• Wenn ein Nutzer auf die .exe-Datei klickt, werden sofort die Netzwerklaufwerke gescannt, sämtliche Dateien und Ordner umbenannt und verschlüsselt.

Locker – eine erste Nachahmer-Software vom Dezember 2013⁷

• Forderung von 150 US-Dollar Lösegeld für den Schlüssel. Das Geld soll über Perfect Money oder eine QIWI Visa Virtual Card bezahlt werden.

CryptoLocker 2.0 – eine neue und verbesserte CryptoLocker-Version vom Dezember 2013⁸

• CryptoLocker 2.0 wurde mit C# programmiert, das Original mit C++.
• Verwendung von Tor und Bitcoin um Anonymität zu garantieren, 2.048-Bit-Verschlüsselung
• Die neueste Variante wird von Antiviren-Programmen und Firewalls nicht entdeckt.

CryptorBit – Dezember 2013⁹

• CryptorBit korrumpiert die ersten 1.024 Bytes jeder gefundenen Datei.
• Kann Einstellungen der Gruppenrichtlinien umgehen, die zum Schutz vor derartiger Ransomware konfiguriert wurden.
• Mithilfe von Social-Engineering-Techniken (z. B. einem vorgetäuschten Flash-Update oder gefälschter Antiviren-Software) werden Nutzer dazu gebracht die Ransomware zu installieren.
• Lösegeldforderung via von Tor und Bitcoin
• Installiert auch Cryptocoin-Mining-Software, die den Computer des Opfers zum Mining digitaler Währungen missbraucht.

CTB-Locker (Curve-Tor-Bitcoin Locker) – Sommer 2014¹⁰

• Erste Infektionen hauptsächlich in Russland. Die Entwickler stammen vermutlich aus einem osteuropäischen Land.

SynoLocker – August 2014¹¹

• Greift NAS-Systeme von Synology an und verschlüsselte die Dateien einzeln.
• Lösegeldforderung in Bitcoins, verwendet Tor um Anonymität sicherzustellen.

CryptoWall – umbenannt von CryptoDefense im April 2014¹²

• Nutzte eine Java-Schwachstelle aus.
• Bösartige Online-Werbung auf Domains von Disney, Facebook, der Tageszeitung The Guardian und vielen anderen führte zu mit CryptoWall infizierten Websites. Daraufhin wurden die Laufwerke der Opfer verschlüsselt.
• Aus einem Bericht der Dell SecureWorks Counter Threat Unit (CTU) vom 27. August 2014: „Die Forscher des CTU halten CryptoWall für eine der größten und destruktivsten Ransomware-Bedrohungen im Internet seit Bestehen dieser Website, und sie erwarten, dass sie sich noch verschärfen wird.“
• Zwischen Mitte März und dem 24. August 2014 wurden mehr als 600.000 Systeme infiziert und 5,25 Milliarden Dateien verschlüsselt. 1.683 Opfer (0,27 Prozent) bezahlten ein Lösegeld von insgesamt 1.101.900 US-Dollar. Fast zwei Drittel davon bezahlten 500 US-Dollar, die Summen variierten jedoch zwischen 200 und 10.0000 US-Dollar.¹³

Cryptoblocker – Juli 2014¹⁴

• Verschlüsselt nur Dateien, die kleiner als 100 MB sind, und überspringt Windows- und Programmdateien.¹⁵
• Verwendet AES- statt RSA-Verschlüsselung.

OphionLocker – Dezember 2014¹⁶

• ECC (Elliptic Curve Cryptography) Public-Key-Kryptographie
• Opfer haben 3 Tage Zeit, um das Lösegeld zu bezahlen, sonst wird der Schlüssel gelöscht.

Pclock – Januar 2015, Imitation von CryptoLocker¹⁷

• Verschlüsselung von Dateien in einem Nutzerprofil
• Volume-Schattenkopien werden gelöscht und deaktiviert.
• 72-Stunden-Countdown zur Bezahlung des Lösegelds von 1 Bitcoin

CryptoWall 2.0 – Januar 2015¹⁸

• Infizierung über E-Mail-Anhänge, bösartige PDF-Dateien und verschiedene Exploit-Kits
• Verschlüsselt die Daten des Opfers bis ein Lösegeld für den Schlüssel gezahlt wird.
• Verwendet Tor zur Verschleierung des C&C-Kanals (Command & Control).
• Enthält Anti-VM- und Anti-Emulation-Checks, um eine Identifizierung über Sandboxen zu verhindern.
• Kann 64-Bit-Code direkt über seinen 32-Bit-Dropper ausführen. Kann den Ausführungskontext des Prozessors von 32 Bit auf 64 Bit ändern.

TeslaCrypt – neue CryptoWall-Variante vom Februar 2015¹⁹

• Zielt auf beliebte Videospiel-Dateien wie Call of Duty, MineCraft, World of Warcraft und Steam ab.

VaultCrypt – gefälschter Kunden-Support vom Februar 2015²⁰

• Tauchte zuerst in Russland auf.
• Verwendet Windows-Batchdateien und die Open-Source-Software GNU Privacy Guard zur Dateiverschlüsselung.

CryptoWall 3.0 – neue Version vom März 2015²¹

• I2P-Netzwerkkommunikation
• Setzt Exploit-Kits zur Rechteausweitung auf dem System ein.
• Deaktiviert viele Sicherheitsfunktionen auf dem Zielsystem.

CryptoWall 4.0 – September 2015, 6 Monate nach der letzten Variante²²

• Die grundlegendste Veränderung zur Version 3.0 besteht darin, dass die Dateinamen von verschlüsselten Dateien erneut verschlüsselt werden. So ist schwieriger zu erkennen, welche Dateien wiederhergestellt werden müssen.

LowLevel04 – Oktober 2015²³

• Auch als Onion Trojan-Ransom bekannt.
• Verbreitet sich mithilfe von Brute-Force-Attacken auf Computern mit Remote Desktop oder Terminal Services.
• Verschlüsselt Dateien per AES, der Schlüssel an sich ist per RSA verschlüsselt.

Chimera – läutete im November 2015 ein neues Ransomware-Zeitalter ein²⁴

• Die Hacker veröffentlichen die verschlüsselten Dateien im Internet sofern das Opfer das Lösegeld nicht bezahlt!

Ist die Offenlegung von Informationen der nächste Schritt bei Ransomware? Dazu mehr im nächsten Beitrag.

¹ http://virus.wikia.com/wiki/AIDS_trojan_disk
² https://medium.com/un-hackable/the-bizarre-pre-internet-history-of-ransomware-bb480a652b4b
³ https://www.knowbe4.com/archiveus-trojan
⁴ https://www.knowbe4.com/gpcode
⁵ http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2012.pdf
⁶ http://www.bbc.com/news/technology-25506020
⁷ https://community.webroot.com/t5/Security-Industry-News/Cryptolocker-copycat-ransomware-emerges-but-an-antidote-is/td-p/73029
⁸ http://news.softpedia.com/news/CryptoLocker-2-0-Appears-to-Be-the-Work-of-Copycats-411191.shtml
⁹ http://www.bleepingcomputer.com/forums/t/517689/howdecrypt-or-cryptorbit-encrypting-ransomware-500-usd-ransom-topic/
¹⁰ https://www.knowbe4.com/curve-tor-bitcoin-locker
¹¹ https://www.knowbe4.com/synolocker
¹² http://www.secureworks.com/cyber-threat-intelligence/threats/cryptowall-ransomware/
¹³ https://www.knowbe4.com/cryptowall
¹⁴ http://blog.trendmicro.com/trendlabs-security-intelligence/new-crypto-ransomware-emerge-in-the-wild/
¹⁵ http://blog.trendmicro.com/trendlabs-security-intelligence/new-crypto-ransomware-emerge-in-the-wild/
¹⁶ http://www.bleepingcomputer.com/forums/t/559343/ophionlocker-ransomware-encrypts-your-files-with-elliptical-curve-cryptography/
¹⁷ http://www.bleepingcomputer.com/forums/t/561970/new-pclock-cryptolocker-ransomware-discovered/
¹⁸ http://arstechnica.com/information-technology/2015/01/inside-cryptowall-2-0-ransomware-professional-edition/
¹⁹ http://malwaretips.com/blogs/remove-restore_files-txt-and-abc-virus/
²⁰ http://blog.emsisoft.com/2015/03/29/vaultcrypt-ransomware-offers-fake-customer-support/
²¹ https://malwaretips.com/blogs/remove-cryptowall-3-0-virus/
²² http://www.bleepingcomputer.com/news/security/cryptowall-4-0-released-with-new-features-such-as-encrypted-file-names/
²³ http://www.bleepingcomputer.com/news/security/help-recover-files-txt-ransomware-installed-by-targeted-terminal-services-attacks/?utm_source=hs_email&utm_medium=email&utm_content=23075973&_hsenc=p2ANqtz–ZdAy5X1C4NRB_PV61ZHQ4hHrtVAtgJrpYrCsIdQTZ1Trm8y7gmPvpJYpdd_kUzIW0zHc1IyBQbyY7stgv3K1H77YTzw&_hsmi=23075973
²⁴ http://www.pcworld.com/article/3002119/encryption/new-ransomware-program-chimera-threatens-to-leak-user-files.html

The post Eine kurze Geschichte der Ransomware appeared first on Varonis Deutsch.