Ransomware Satan
Wie ein französischer Hacker, sein Pseudonym ist Xylitol, herausfand, bieten kriminelle Autoren hinter der Ransomware „Satan“ einen neuen Service an. Wie die sueddeutsche.de dazu erläuterte können Kunden die schädliche Software über eine webbasierte Oberfläche gemäß ihren Bedürfnissen anpassen.
Die „Satan“ Autoren verlangen für diesen Service allerdings 30 Prozent der erzielten Erlöse von ihren Kunden. Diese wiederum müssen auch dafür sorgen, dass der maßgeschneiderte Erpressungs-Trojaner zum Opfer gelangt.
Deckmantel Tor-Netzwerk
Unter dem Schutz des Tor-Netzwerks gelingt es hierbei den Akteuren die Spuren im Netz zu verwischen und so gegenüber Behörden unerkannt ihr Unwesen zu treiben. Der Zahlungsverkehr erfolgt, wie gewöhnlich in diesen Fällen, in der Kryptowährung Bitcoin. Ein Umstand, der auch zur Verschleierung der Geldgeschäfte dient.
Wie funktioniert der Tor Browser?
Der Tor Client zerlegt Daten in Pakete und versendet diese über drei Server-Knotenpunkte, die sogenannten Nodes. Alle Daten werden den Knotenpunkten zufällig zugeordnet. Jeder Tor-Knoten kennt den nächsten, aber nie den übernächsten Knotenpunkt.
Der Exit-Node ist der letzte Server, der Daten zum eigentlichen Ziel-Webserver schickt. Im 10-Minuten-Rhythmus werden die drei Server, über die eine Verbindung aufgebaut wird, gewechselt. Die IP-Adresse des Nutzers bleibt damit unerkannt. Internetseiten, die Profile erstellen oder Datendiebe sind durch den Computerverbund ausgeschaltet.
Der Infektionsweg
Es sind sogenannte Makros für Word oder Dateien, die Hilfe-Dateien von Windows ähneln, mit denen die Rechner der Opfer infiziert werden. Wie verlautet hat Xylitol die schädliche Software, die von dem Service erzeugt wird, auf die Plattform Virustotal hochgeladen, sodass sie allen Antiviren-Herstellern zur Verfügung steht.
Weiterführende Links:
Mit der „Maus“ Tor-Nutzer fangen?
Anonymisierung und Verschlüsselung: Riffle – der Nachfolger von Tor?
sueddeutsche.de: "Satan", der Trojaner zum Selbermachen