Neue Variante der Ransomware CryptoBit entdeckt Neue Variante der Ransomware CryptoBit entdeckt - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


11.07.2016 Rudolf Felser/pi

Neue Variante der Ransomware CryptoBit entdeckt

Die Malware-Analysten von Palo Alto Networks, Unit 42, haben eine aktualisierte Version der Ransomware CryptoBit entdeckt, welche sich über das Rig Exploit Kit (EK) verbreitet.

© CC0 Public Domain - pixabay.com

Am 23. und 24. Juni nutzte diese Kampagne ein Gate mit einem Domainnamen, der laut den Security-Experten auf das Rig EK hindeutet. Wann immer ein angreifbares Windows-Gerät auf diesen Traffic stößt, liefert das Rig EK auf dem Gerät CryptoBit aus, um das Gerät zu infizieren. Andere Quellen benutzen verschiedene Begriffe für diese Ransomware, etwa "CriptoBit" oder "Mobef" anstatt "CryptoBit".

"Die Entwickler von CryptoBit haben ihre Schadsoftware überarbeitet um Windows-Endgeräte noch effektiver anzugreifen. Wir beobachten in letzter Zeit immer häufiger, dass Kriminelle ihre Malware verändern und optimieren. Dadurch wird es für konventionelle Sicherheitslösungen wie Antivirus-Software sehr schwer, die Malware zu stoppen", erklärt Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks. "Die Anbieter traditioneller Sicherheitssoftware liefern sich mit den Kriminellen ein Wettrennen, dessen Geschwindigkeit immer mehr zunimmt."

Das eingesetzte Gate überprüft die Bildschirmauflösung und Zeitzone des Opfergeräts. Der Rig EG Traffic hat sich seit Mai 2015 nicht sehr verändert, als die Verschleierung der Nutzlast auf das XOR-ing ("Exklusiv-oder"-Prinzip) der Binärdaten mit einer ASCII-Reihung umgestellt wurde. Bei dieser Infektion war der Windows Host verwundbar auf Grund eines veralteten Flash-Plugins. Der CryptoBit Traffic hat einen falschen User-Agenten im HTTP Header und beinhaltet zudem eine falsche Referrer-Zeile, um die Callback-Aktivität als regulären Web Traffic zu tarnen. Nach der Infizierung öffnet sich ein Fenster auf dem Desktop des infizierten Hosts.

Darin heißt es übersetzt: "Wenn Sie Ihre Dateien wiederhaben möchten, dann mailen Sie mir unter: kyklos@lelantos.org + sycophant@sigaint.org + epiclesis@protonmail.ch + malakia@anoninbox.net. Schicken Sie eine E-Mail an alle diese Adressen, für den Fall dass eine verloren geht. Vergessen Sie nicht, später Ihren Spam-Ordner zu checken, in aller Wahrscheinlichkeit wird meine Antwort dort landen. Falls Sie anonym bleiben möchten oder Sie keine Antwort erhalten, versuchen Sie bitte Bitmessage [bitmessage.org] und die folgende Adresse zu benutzen, um mich zu kontaktieren: BM-NaxZ29ouecw2Y7ibaXKus1vxDRDtheW6. Diese Methode funktioniert 100%ig."

Dieses Fenster lässt sich nicht verschieben. Nachdem der Host wieder hochgefahren ist, verschwindet das Popup-Fenster. Stattdessen bleibt eine Text-Datei auf dem Desktop, welche dieselben Anweisungen zur Entschlüsselung enthält. Man kann zudem Schlüsseldateien sehen. Seit dem 27. Juni hat diese Kampagne begonnen, andere Malware als bislang zu verbreiten. Zwischen dem 17. Juni und dem 27. Juni haben die Forscher von Palo Alto Networks jedoch mindestens acht Beispiele dieser aktualisierten CryptoBit-Variante entdeckt.

Weitere Details zu den Ergebnissen seiner Untersuchung haben die Security-Experten auf ihrer Webseite gesammelt. (pi)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ITSDONE GRUPPE

    ITSDONE GRUPPE Office Software, Kaufmännische Software (ERP), Datenbanken, Server-Betriebssysteme, Programmiersprachen, Betriebssysteme für PCs, Netzwerk- und Systemüberwachung,... mehr
  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr
  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr
  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr

Hosted by:    Security Monitoring by: