Neue Qualität: Ransomware Locky kann auch ohne C&C-Server
Mit der neuen Qualität werden nun auch Daten auf Windows-PCs verschlüsselt, die nicht an das Internet gebunden sind. Das berichtete heise.de unter Berufung auf die Sicherheitsforscher von Avira. Die Angreifer haben mit der neuen Lösung noch bessere Möglichkeiten sich vor Entdeckung zu schützen.
Mittlerweile ist es auch möglich, dass Locky für Offline-Opfer keine individuellen RSA-Schlüssel (Public Key) für die Verschlüsselung erzeugt. Dieser wurde in der Vergangenheit, für die Opfer nicht erreichbar, auf einem C&C Server aufbewahrt. Wo er sich nun befindet ist allerdings unbekannt.
Angreifer können sich besser verbergen
Bisher waren die Kriminellen gezwungen den Standort ihrer Server zu verschleiern, eine kostspielige Angelegenheit. Mit der Lösung ohne C&C-Server ist es nun möglich, noch günstiger und unerkannt tätig zu werden. Die Lösegeldbezahlung läuft aber weiterhin über URLs, die auf Hidden Services in das anonymisierte Tor-Netzwerk verweisen, wie heise.de erläutert.
Ohne C&C-Server gelingt es den Kriminellen Angreifern noch besser sich vor den Behörden zu verstecken. Allerdings müssen sie mit der „Neuen Methode“ auf Infektions-Statistiken der C&C-Server verzichten.
Schädling kommt per Loader
Die bisherige Infektionstechnik mittels gefälschter E-Mails, deren Datei-Anhang vom Opfer geöffnet werden musste wurde geändert. Im Anhang einer Mail befindet sich nun ein Office-Dokument mit Makro-Code oder ein Skript, das nach dem Öffnen den Schädling auf den Computer holt. Dafür kommen sogenannte Loader zum Einsatz.
Dabei soll laut Sicherheitsforschern von Forcepoint der Quant Loader zum Einsatz kommen. Der Loader soll in russischen Untergrundforen angeboten werden. Er soll nicht nur Schädlinge downloaden können sondern auch Nutzer-Rechte erhöhen können, was Sicherheitsforscher nicht verifizieren konnten. Auch soll sich der Loader vor Viren-Wächtern verstecken, was auf Grund seines Basis Codes des Madness DDoS Systems, welches Virenwächter erkennen, laut Forcepoint Analyse nicht möglich ist.
Weiterführende Links:
Locky meldet sich mit massiven Angriffen auf Krankenhäuser zurück
Erpressungs-Trojaner Locky: G DATA gibt Tipps für mehr Sicherheit
Breaking News: Vorsicht - Lösegeld-Trojaner Locky ändert seine Angriffsstrategie
heise.de: Erpressungs-Trojaner Locky nun mit Autopilot
blog.avira.com: Locky ransomware goes on Autopilot
