Domainhacker: Software für Erpresser ?

7. Januar 2016 | Von | Kategorie: Domain News, Domain-Tools

Ransom 32: Schadsoftware als Geschäftsmodel ?

Neue Systeme und Verbesserungen an Betriebssystemen rufen immer wieder die Entwickler von Schadsoftware auf den Plan. Jetzt ist die Erweiterung einer bereits bekannten Ransomware aufgetaucht. Die Schadsoftware mit dem Namen Ransom 32 ist an den Cryproblocker angelehnt. Das Programm wurde jedoch in NW.js umgesetzt und besitzt damit die Fähigkeit, auch Mac- und Linux-Systeme zu schädigen.

Emisoft entdeckt Ransomware 32
Die Sicherheitsfirma Emisoft hat die neue Version der Ransomware identifiziert und untersucht. Ransomware 32 ist eine Java Script Implementation von beeindruckender Größe. Die Software ist in einem selbstextrahierenden RAR Archiv untergebracht und in der Lage, auch Mac- und Linux PC zu befallen. Möglich wird dies durch die Node-Kit Technologie, die u.a. in den Dateien der Software gefunden wurde. Die gesamte RAR Datei des Schädlings hat eine Größe von 22 M byte. Sie enthält verschiedene Dateien, die als Baustein für die Schadsoftware fungieren, Lizenzen für GNU und GPL und weitere Scripts, wie z.B. ein Erpresserschreiben.

Schadsoftware hat eigenen Tor-Clienten
Die Ransomware dringt in die Systeme ein. Beim Aufrufen des RAR Archivs entpackt sich die Software automatisch in „%AppData%\Chrome Browser“ und erstellt eine Autostartverknüpfung mit der Bezeichnung „Chromservice“, um die Software in das jeweilige Betriebssystem zu laden. Danach wählt Ransom 32 über den eigenen Tor-Clienten den Port-and-Command-Server an und erstellt einen Bitcoin Account, auf dem die erpressten Gelder einfließen.

Die befallenen Systeme werden laut Emisoft einzeln mit einem AES-Schlüssel im CTR-Modus verschlüsselt. Den Besitzern wird die Zerstörung der Dateien angedroht, sollten sie nicht der Zahlungsaufforderung nachkommen. Der Hacker kann nach Belieben einzelne Dateien freigeben, um die Funktionalität des Systems zu beweisen.

Gutes Geschäft mit Ransomware
Die Entwickler der Ransomware bieten die Schadsoftware im Darknet zum Verkauf an. Das Paket wird bereits vorprogrammiert geliefert und erfordert vom Käufern nur einige Angaben und eine eigenen Bitcoin Account.Die Hacker fordern für die Abgabe 25% vom Gewinn aus den Erpressungen.

 

Schreibe einen Kommentar