Jena, 1. September 2016 – Die bereits seit dem Jahr 2014 bekannte Verschlüsselungs-Malware „TorrentLocker“ ist auch nach zwei Jahren noch aktiv und nimmt weiterhin lokale Firmen aus dem Energie-, Post- und Telekommunikationssektor ins Fadenkreuz. Dies geht aus einer Untersuchung des europäischen Security-Software-Herstellers ESET hervor, in der aktuelle Malware-Samples von TorrentLocker analysiert wurden.
Ein heute veröffentlichter Artikel im ESET Security-Blog WeLiveSecurity beleuchtet Ähnlichkeiten und Unterschiede zwischen TorrentLocker-Mustern aus den Jahren 2014 und 2016. Die Ergebnisse der Analyse:
Die Infektionsbenachrichtigung hat sich verändert
- Wo 2014 nach Infektion von einem „CryptoLocker virus“ gesprochen wurde, ist heute von „Crypt0l0cker“ die Rede (Vgl. Bild 1 im Anhang), obwohl der Schadcode und die Angriffsstrategie weitgehend unverändert blieben. Es handelt sich somit um eine alte Malware in neuem Gewand.
- Diese Indizien sprechen dafür, dass die Hintermänner der Malware identisch geblieben sind
Identische Verbreitungsstrategie
- Wie schon 2014 werden auch weiterhin verseuchte E-Mails mit einem Link zu einem als wichtig gekennzeichneten Dokument verschickt, wie eine Rechnung oder ein Tracking-Code. Nach Download und Ausführen der Datei wird TorrentLocker aktiv und nimmt Verbindung zum Command & Control (C&C)-Server auf. Es folgt die Verschlüsselung der lokalen Dateien.
Geo-lokalisiertes Auftreten
- TorrentLocker tritt in gut getarnten, lokalisierten Versionen auf. Dies erschwert es den Opfern, die Software als bösartig zu identifizieren.
- In der DACH-Region fällt die gute Tarnung dreier Beispiele ins Auge, die sich allesamt als österreichische Unternehmen ausgeben (die vollständige Auflistung inklusive Bildmaterial findet sich im Blog-Beitrag auf WeLiveSecurity):
- A1 Telekom (Vgl. Bild 2 im Anhang)
- Österreichische Post (Vgl. Bild 3 im Anhang)
- Verbund (Vgl. Bild 4 im Anhang) - Die URL-Adressen der Downloadseiten sind exklusiv aus dem Land abrufbar, das Ziel der Malware-Kampagne ist. Die Fake-Webseiten der österreichischen Unternehmen sind folglich nur von Österreich abrufbar – Deutsche oder Schweizer haben keinen Zugriff.
Kontaktaufnahme mit C&C-Server über Tor-Netzwerk
- TorrentLocker nutzt neuerdings das Tor-Netzwerk zur Verschleierung der Adresse des C&C-Servers – 2014 lief die Verbindung noch über fest codierte Domains über HTTPS.
- Die Verschleierung über das Tor-Netzwerk macht es für Malware-Forscher und Ermittlungsbehörden extrem schwierig, die physikalische Adresse der C&C Server ausfindig zu machen.
TorrentLocker verschlüsselt private Daten mit AES-256-CBC
- Wo 2014 noch die kryptografische Bibliothek LibTomCrypt zum Einsatz kam, setzt die Malware neuerdings weitgehend auf die Microsoft CryptoAPI als Basiswerkzeug für die AES-256-Verschlüsselung. Je nach Kampagne variiert der Schlüssel.
- Die Kommunikation mit dem C&C-Server läuft AES-256-verschlüsselt.
- Im Gegensatz zu 2014 chiffriert die Schadsoftware die privaten Dateien nicht mehr bis zu den ersten 2 Megabyte, sondern nur noch bis zum ersten Megabyte.
- Die verschlüsselten Dateien enden nun mit zufälligen Strings, nicht mehr mit sequentiellen Nummern. Systemdateien bleiben unangetastet, das System folglich nutzbar.