Kein Ende in Sicht: Neue Ransomware stiehlt auch Passwörter
(pressebox) Wiesbaden, 12.07.2016 - Auch wenn es aktuell stiller geworden zu sein scheint um das Thema Ransomware: Die Schadsoftware ist aktiv wie eh und je. Und sie hat sogar noch dazu gelernt: Ging es früher um das einmalige Verschlüsseln der Daten und die Zahlung von Lösegeld, kann man sich inzwischen dauerhaft mit dem Schädling infizieren. Sophos zeigt die Entwicklung bis zum heutigen Tage, beschreibt, wie der Ransomware-Befall stattfinden kann, gibt konkrete Beispiele wie das kriminelle Prozedere aussieht und empfiehlt Maßnahmen zum Schutz.
Kürzlich stießen Forscher des Sicherheitsanbieters Sophos auf ein interessantes, neues Ransomware-Sample genannt RAA. Dieses wird von Sophos zwar als JS / Ransom-DDL identifiziert und blockiert und besonders weit verbreitet ist es auch nicht, aber sein Inhalt ist umso spannender: RAA nimmt als Ransomware nicht mehr nur persönliche Daten in Geiselhaft, es stiehlt auch noch die Passwörter der Geschädigten.
Ransomware, wie jede Art von Malware, kann auf viele verschiedene Arten in eine Organisation eindringen: als E-Mail-Anhang, über infizierte Websites oder USB-Geräte, durch Exploit-Kits und gelegentlich sogar als Teil eines sich selbst verbreitenden Netzwerk-Wurms. E-Mail-Anhänge scheinen für die Internetbetrüger am besten zu funktionieren. Die Mails werden glaubhaft gestaltet und dann mit angeblichen Rechnungen, Gerichtsunterlagen oder sonstigen Dokumenten versehen, die Verbraucher erschrecken oder neugierig machen und vor allem eine Handlungsaufforderung in sich bergen.
In 2015 wurde die meiste Ransomware über Makros verbreitet. Dabei handelt es sich um Skript-Programme, die in Dokumente eingebettet werden können und deren Inhalte sich in Echtzeit anpassen. Sie sind in vielen Unternehmen Teil des Workflows, etwa in der Buchhaltung. Das Problem mit Makros aber ist, dass sie nicht nur auf die Anpassung und Modifizierung des Dokuments beschränkt sind, in dem sie sich befinden. Vielmehr können sie vollständige, eigenständige Programme sein. Sie können nicht nur Dokumente auf lokalen Laufwerken lesen und schreiben, sondern auch Dateien aus dem Internet laden und aktivieren.
Mit anderen Worten: Sobald Nutzer die Autorisierung geben, ein Makro auszuführen, können sie damit auch unabsichtlich die Genehmigung zum Download einer anderen Software geben, die dann ohne weitere Warnungen Malware mit sich führen kann.
Glücklicherweise sind Makros standardmäßig deaktiviert, so dass Kriminelle die User zuerst überzeugen müssen, sie zu aktivieren, etwa wie bei diesem Locky-Muster:
Die Umstellung auf JavaScript
Anfang 2016 begannen viele Internetkriminelle ihre Strategie zur Malwareverbreitung zu modifizieren. Die Gefährlichkeit von Makros hatte sich herumgesprochen und neue Vertriebswege mussten her. Derzeit beobachten die Sophos Labs, dass die Verbreitung über JavaScript-Anhänge erfolgt. Eine gute Idee denn:
Windows zeigt Dateierweiterungen nicht standardmäßig an. Eine Datei namens Rechnung.txt.js taucht also als Rechnung.txt auf.
Windows verwendet mehrdeutige Bilder für .js-Dateien. Scripts erscheinen mit einem Symbol, das wie eine Pergamentrolle aussieht. Dadurch wirken sie auf den ersten Blick wie Dokumente (siehe unten).
Paul Ducklin, Sicherheitsexperte bei Sophos, erklärt: "Eigentlich sollte es völlig ungefährlich sein, ein Dokument zu öffnen. Deshalb tun die Verbraucher es auch einfach immer wieder. Woher soll man sonst wissen, ob man ein Dokument getrost ignorieren kann? Aber da immer mehr Menschen bei unerwarteten Dokumenten misstrauisch wurden, sind die Cyberkriminellen nun auf JavaScript-Dateien umgestiegen."
Warum aber sollte ein Verbraucher ein JavaScript-Dokument öffnen?
"Das merkt er nicht," erklärt Ducklin. "Windows zeigt die .JS-Endung gar nicht an und nutzt ein Icon, das wie eine Papierrolle aussieht - genau wie die guten alten Dokumente. Der Verbraucher glaubt, auf ein .txt-Dokument zu klicken - und wähnt sich in Sicherheit."
Normalerweise verbindet sich das bösartige JavaScript mit einem Download-Server, holt sich die Ransomware in Form eines Windows-Programms (einer .exe-Datei) und startet es um die Infektion zu vervollständigen.
Reines JavaScript - und es kann die Malware selbst sein
Bei JS / Ransom-DDL lädt die Malware die Ransomware nicht herunter, es ist die Ransomware. Dies ist möglich, weil:
JavaScript ist eine Allzweck-Programmiersprache. Sie kann für alles eingesetzt werden, von einem kleinen Skript bis hin zu einer ausgewachsenen Anwendung.
Unter Windows läuft JavaScript außerhalb des Browsers in Windows Script Host (WSH). Dies beschränkt oder "Sandboxed" den Script-Code nicht, so dass die Anwendung alles auslösen kann.
Die Gauner verwendeten frei verfügbaren Verschlüsselungs-Quellcode in der Malware. Dies machte die Implementierung wesentlich einfacher, weil die Programmierung bereits erfolgt ist.
Weitere Software ist nun nicht mehr nötig. Sobald die JS / Ransom-DDL Malware-Datei im Netzwerk ist, beginnt sie mit der Verschlüsselung der Daten und ein Pop-up übermittelt die Lösegeldforderung. Üblicherweise erscheint dann ein Lockvogel-Dokument:
"Dieses Dokument wurde in einer neueren Version von MS Word erstellt und kann nicht mit Ihrer Version von WordPad geöffnet werden. Kontaktieren Sie den Ersteller der Datei, oder öffnen Sie die Datei mit MS Word 2013. Einige Teile dieser Inhalte können nicht richtig angezeigt werden."
Die Köder-Datei enthält eine gefälschte Fehlermeldung um den User zu überzeugen, dass die Datei wirklich ein Dokument war, um die Aufmerksamkeit abzulenken und mit der Verschlüsselung fortzufahren.
Zahltag: so ist das kriminelle Prozedere
Ransomware ist nicht vollständig in sich geschlossen. Bevor sie funktioniert, muss Kontakt mit einem Server der Betrüger aufgenommen werden, um einen Verschlüsselungs-Key zu erwerben. Der Server antwortet mit einem einzigartigen Key und einem zufällig erstellten AES-Key, so dass die Opfer die Dekodierungsschlüssel nicht miteinander teilen können.
Sind die Daten gesperrt, muss die eindeutige Kennung eingegeben werden um dann mit dem passenden AES-Key die Daten zu entschlüsseln. Der AES-Key, der durch das JavaScript heruntergeladen wurde, bleibt nur im Speicher. Ist die Verschlüsselung abgeschlossen ist und das JavaScript-Programm beendet, haben die Kriminellen die einzige verbleibende Kopie des Schlüssels. Anschließend informiert eine Readme-Seite, wie es weiter geht:
Die Bezahlseiten sind in aller Regel gleich:
*** ACHTUNG *** Ihre Dateien wurden von der RAA Malware mit dem AES-256-Algorithmus verschlüsselt. Dieser wird auch verwendet, zum Staatsgeheimnisse zu schützen. Eine Datenwiederherstellung ist nur möglich, wenn Sie den Schlüssel von uns kaufen. den Schlüssel zu kaufen, ist die einfachste Lösung. Sie brauchen kein Russisch zu können um zu verstehen, dass der Preis 0,39 Bitcoins, also etwa $ 250 beträgt. Die Gauner bieten sogar an (Punkt 2), einige Daten zu entschlüsseln, so dass die User die Gewissheit haben, dass es auch funktioniert. Wie die Testfiles mit einem verschlüsselten Rechner übertragen werden sollen, steht da allerdings nicht.
Und das ist noch nicht alles: Jetzt wird auch das Passwort einkassiert
Die meisten Ransomware-Angriffe der letzten Jahre haben damit begonnen, Daten zu verschlüsseln und endeten, sobald die Zahlung erfolgte, mit der Entschlüsselung. Die kriminelle Komponente bestand aus der Zahlung des Lösegelds, danach war alles wieder beim Alten. Aktuell hinterlassen die Cyberkriminellen jedoch eine weitere Form der Malware auf dem Computer: einen Password-Stealer. Sophos blockiert ihn unter dem Namen als Troj / Fareit-AWR. Ohne entsprechende Software entwenden die Kriminellen nach erfolgter Zahlung noch die Online-Zugangsdaten der Opfer, um sie für kriminelle Zwecke zu missbrauchen. Auch diese Malware wird nicht heruntergeladen, sie ist ein Teil der base64-Programmierung und damit bereits auf dem Rechner vorhanden.
Der Programmcode, der die Fareit-Datei auf die Festplatte legt und launcht, ist absichtlich durch eine AES-Verschlüsselung geschützt. Der Key befindet sich innerhalb der Malware:
Die Fareit Malware befindet sich unter "Meine Dokumente" und trägt den Namen st.exe.
Und nun?
Informieren Sie sich über Ransomware.
Konfigurieren Sie Windows so, dass Dateierweiterungen angezeigt werden. Dies gibt Ihnen eine bessere Chance, verschleierte Dateien zu erkennen.
Überlegen Sie, ob Sie JavaScript-Dateien in Windows auch mit Notepad, nicht mit WSH anzeigen. Notepad zeigt .js-Dateien harmlos als Text, anstatt sie als Programme auszuführen.
Installieren Sie, falls noch nicht geschehen, eine Schutzsoftware wie Sophos Home.
Erwägen Sie den Einsatz eines Recovery-Tools wie Hitman Pro Alert von Sophos. Dies kann erkennen, wenn Malware (auch JS / Ransom-DDL) seine Arbeit beginnt. Es beendet den Prozess und setzt nicht autorisierte Änderungen zurück.
Fazit: Einmal drin, immer drin?
Auch wenn Verbraucher für die Entschlüsselung ihres Computers bezahlt haben, sollten sie sich nicht in Sicherheit wiegen. Wahrscheinlicher ist es, dass die Ganoven, da sie nun schon einmal Zutritt zu ihren Daten hatten, diesen auch künftig nicht ungenutzt lassen.
Kürzlich stießen Forscher des Sicherheitsanbieters Sophos auf ein interessantes, neues Ransomware-Sample genannt RAA. Dieses wird von Sophos zwar als JS / Ransom-DDL identifiziert und blockiert und besonders weit verbreitet ist es auch nicht, aber sein Inhalt ist umso spannender: RAA nimmt als Ransomware nicht mehr nur persönliche Daten in Geiselhaft, es stiehlt auch noch die Passwörter der Geschädigten.
Ransomware, wie jede Art von Malware, kann auf viele verschiedene Arten in eine Organisation eindringen: als E-Mail-Anhang, über infizierte Websites oder USB-Geräte, durch Exploit-Kits und gelegentlich sogar als Teil eines sich selbst verbreitenden Netzwerk-Wurms. E-Mail-Anhänge scheinen für die Internetbetrüger am besten zu funktionieren. Die Mails werden glaubhaft gestaltet und dann mit angeblichen Rechnungen, Gerichtsunterlagen oder sonstigen Dokumenten versehen, die Verbraucher erschrecken oder neugierig machen und vor allem eine Handlungsaufforderung in sich bergen.
In 2015 wurde die meiste Ransomware über Makros verbreitet. Dabei handelt es sich um Skript-Programme, die in Dokumente eingebettet werden können und deren Inhalte sich in Echtzeit anpassen. Sie sind in vielen Unternehmen Teil des Workflows, etwa in der Buchhaltung. Das Problem mit Makros aber ist, dass sie nicht nur auf die Anpassung und Modifizierung des Dokuments beschränkt sind, in dem sie sich befinden. Vielmehr können sie vollständige, eigenständige Programme sein. Sie können nicht nur Dokumente auf lokalen Laufwerken lesen und schreiben, sondern auch Dateien aus dem Internet laden und aktivieren.
Mit anderen Worten: Sobald Nutzer die Autorisierung geben, ein Makro auszuführen, können sie damit auch unabsichtlich die Genehmigung zum Download einer anderen Software geben, die dann ohne weitere Warnungen Malware mit sich führen kann.
Glücklicherweise sind Makros standardmäßig deaktiviert, so dass Kriminelle die User zuerst überzeugen müssen, sie zu aktivieren, etwa wie bei diesem Locky-Muster:
Die Umstellung auf JavaScript
Anfang 2016 begannen viele Internetkriminelle ihre Strategie zur Malwareverbreitung zu modifizieren. Die Gefährlichkeit von Makros hatte sich herumgesprochen und neue Vertriebswege mussten her. Derzeit beobachten die Sophos Labs, dass die Verbreitung über JavaScript-Anhänge erfolgt. Eine gute Idee denn:
Windows zeigt Dateierweiterungen nicht standardmäßig an. Eine Datei namens Rechnung.txt.js taucht also als Rechnung.txt auf.
Windows verwendet mehrdeutige Bilder für .js-Dateien. Scripts erscheinen mit einem Symbol, das wie eine Pergamentrolle aussieht. Dadurch wirken sie auf den ersten Blick wie Dokumente (siehe unten).
Paul Ducklin, Sicherheitsexperte bei Sophos, erklärt: "Eigentlich sollte es völlig ungefährlich sein, ein Dokument zu öffnen. Deshalb tun die Verbraucher es auch einfach immer wieder. Woher soll man sonst wissen, ob man ein Dokument getrost ignorieren kann? Aber da immer mehr Menschen bei unerwarteten Dokumenten misstrauisch wurden, sind die Cyberkriminellen nun auf JavaScript-Dateien umgestiegen."
Warum aber sollte ein Verbraucher ein JavaScript-Dokument öffnen?
"Das merkt er nicht," erklärt Ducklin. "Windows zeigt die .JS-Endung gar nicht an und nutzt ein Icon, das wie eine Papierrolle aussieht - genau wie die guten alten Dokumente. Der Verbraucher glaubt, auf ein .txt-Dokument zu klicken - und wähnt sich in Sicherheit."
Normalerweise verbindet sich das bösartige JavaScript mit einem Download-Server, holt sich die Ransomware in Form eines Windows-Programms (einer .exe-Datei) und startet es um die Infektion zu vervollständigen.
Reines JavaScript - und es kann die Malware selbst sein
Bei JS / Ransom-DDL lädt die Malware die Ransomware nicht herunter, es ist die Ransomware. Dies ist möglich, weil:
JavaScript ist eine Allzweck-Programmiersprache. Sie kann für alles eingesetzt werden, von einem kleinen Skript bis hin zu einer ausgewachsenen Anwendung.
Unter Windows läuft JavaScript außerhalb des Browsers in Windows Script Host (WSH). Dies beschränkt oder "Sandboxed" den Script-Code nicht, so dass die Anwendung alles auslösen kann.
Die Gauner verwendeten frei verfügbaren Verschlüsselungs-Quellcode in der Malware. Dies machte die Implementierung wesentlich einfacher, weil die Programmierung bereits erfolgt ist.
Weitere Software ist nun nicht mehr nötig. Sobald die JS / Ransom-DDL Malware-Datei im Netzwerk ist, beginnt sie mit der Verschlüsselung der Daten und ein Pop-up übermittelt die Lösegeldforderung. Üblicherweise erscheint dann ein Lockvogel-Dokument:
"Dieses Dokument wurde in einer neueren Version von MS Word erstellt und kann nicht mit Ihrer Version von WordPad geöffnet werden. Kontaktieren Sie den Ersteller der Datei, oder öffnen Sie die Datei mit MS Word 2013. Einige Teile dieser Inhalte können nicht richtig angezeigt werden."
Die Köder-Datei enthält eine gefälschte Fehlermeldung um den User zu überzeugen, dass die Datei wirklich ein Dokument war, um die Aufmerksamkeit abzulenken und mit der Verschlüsselung fortzufahren.
Zahltag: so ist das kriminelle Prozedere
Ransomware ist nicht vollständig in sich geschlossen. Bevor sie funktioniert, muss Kontakt mit einem Server der Betrüger aufgenommen werden, um einen Verschlüsselungs-Key zu erwerben. Der Server antwortet mit einem einzigartigen Key und einem zufällig erstellten AES-Key, so dass die Opfer die Dekodierungsschlüssel nicht miteinander teilen können.
Sind die Daten gesperrt, muss die eindeutige Kennung eingegeben werden um dann mit dem passenden AES-Key die Daten zu entschlüsseln. Der AES-Key, der durch das JavaScript heruntergeladen wurde, bleibt nur im Speicher. Ist die Verschlüsselung abgeschlossen ist und das JavaScript-Programm beendet, haben die Kriminellen die einzige verbleibende Kopie des Schlüssels. Anschließend informiert eine Readme-Seite, wie es weiter geht:
Die Bezahlseiten sind in aller Regel gleich:
*** ACHTUNG *** Ihre Dateien wurden von der RAA Malware mit dem AES-256-Algorithmus verschlüsselt. Dieser wird auch verwendet, zum Staatsgeheimnisse zu schützen. Eine Datenwiederherstellung ist nur möglich, wenn Sie den Schlüssel von uns kaufen. den Schlüssel zu kaufen, ist die einfachste Lösung. Sie brauchen kein Russisch zu können um zu verstehen, dass der Preis 0,39 Bitcoins, also etwa $ 250 beträgt. Die Gauner bieten sogar an (Punkt 2), einige Daten zu entschlüsseln, so dass die User die Gewissheit haben, dass es auch funktioniert. Wie die Testfiles mit einem verschlüsselten Rechner übertragen werden sollen, steht da allerdings nicht.
Und das ist noch nicht alles: Jetzt wird auch das Passwort einkassiert
Die meisten Ransomware-Angriffe der letzten Jahre haben damit begonnen, Daten zu verschlüsseln und endeten, sobald die Zahlung erfolgte, mit der Entschlüsselung. Die kriminelle Komponente bestand aus der Zahlung des Lösegelds, danach war alles wieder beim Alten. Aktuell hinterlassen die Cyberkriminellen jedoch eine weitere Form der Malware auf dem Computer: einen Password-Stealer. Sophos blockiert ihn unter dem Namen als Troj / Fareit-AWR. Ohne entsprechende Software entwenden die Kriminellen nach erfolgter Zahlung noch die Online-Zugangsdaten der Opfer, um sie für kriminelle Zwecke zu missbrauchen. Auch diese Malware wird nicht heruntergeladen, sie ist ein Teil der base64-Programmierung und damit bereits auf dem Rechner vorhanden.
Der Programmcode, der die Fareit-Datei auf die Festplatte legt und launcht, ist absichtlich durch eine AES-Verschlüsselung geschützt. Der Key befindet sich innerhalb der Malware:
Die Fareit Malware befindet sich unter "Meine Dokumente" und trägt den Namen st.exe.
Und nun?
Informieren Sie sich über Ransomware.
Konfigurieren Sie Windows so, dass Dateierweiterungen angezeigt werden. Dies gibt Ihnen eine bessere Chance, verschleierte Dateien zu erkennen.
Überlegen Sie, ob Sie JavaScript-Dateien in Windows auch mit Notepad, nicht mit WSH anzeigen. Notepad zeigt .js-Dateien harmlos als Text, anstatt sie als Programme auszuführen.
Installieren Sie, falls noch nicht geschehen, eine Schutzsoftware wie Sophos Home.
Erwägen Sie den Einsatz eines Recovery-Tools wie Hitman Pro Alert von Sophos. Dies kann erkennen, wenn Malware (auch JS / Ransom-DDL) seine Arbeit beginnt. Es beendet den Prozess und setzt nicht autorisierte Änderungen zurück.
Fazit: Einmal drin, immer drin?
Auch wenn Verbraucher für die Entschlüsselung ihres Computers bezahlt haben, sollten sie sich nicht in Sicherheit wiegen. Wahrscheinlicher ist es, dass die Ganoven, da sie nun schon einmal Zutritt zu ihren Daten hatten, diesen auch künftig nicht ungenutzt lassen.
