Übersicht
Ransomware macht in seinen verschiedenen Formen weiterhin Schlagzeilen für vielbeachtete Netzwerkunterbrechungen und die Allgegenwärtigkeit von Angriffen unter Konsumenten. Wir haben kürzlich auf das nicht lineare Wachstum von Ransomware-Varianten aufmerksam gemacht und weisen nun auf einen neuen Typ mit der Bezeichnung MarsJoke hin.
Proofpoint-Experten erkannten die MarsJoke-Ransomware das erste Mal Ende August [1] beim Durchstöbern unseres Repository unbekannter Malware. Am 22. September 2016 erkannten wir die erste große E-Mail-Kampagne, in der MarsJoke verbreitet wurde. Diese laufende Kampagne scheint sich in erster Linie auf bundesstaatliche und örtliche Regierungsämter und Bildungsinstitutionen in den Vereinigten Staaten zu konzentrieren.
Das Zielpublikum der bundesstaatlichen und örtlichen Regierungsämter sowie die Verteilungsmethoden sind einer CryptFile2-Kampagne sehr ähnlich, die wir im August beschrieben haben[2]. Der Blog von Gary Warners berichtete auch über diese und ähnliche Kampagnen, der auf ein gut bekanntes Botnet, Kelihos, als Verantwortlichen für die Verteilung dieses Spams hinweist [4][5][6].
E-Mail-Kampagne
Am 22. September erkannte Proofpoint eine große MarsJoke-Ransomware-E-Mail-Kampagne. E-Mails enthielten URLs, die mit einer Programmdatei namens „file_6.exe" verlinkt sind, und auf verschiedenen Sites mit neu registrierten Domänen gehostet wird, offensichtlich zur Unterstützung dieser Kampagne. Dies ist ein Abschied von den wesentlich häufigeren Kampagnen mit angefügten Dokumenten, die wir in letzter Zeit bei zahlreicher Malware beobachtet haben, einschließlich der weitverbreiteten Locky-Ransomware. Die Mitteilungen in dieser Kampagne verwenden einen überzeugenden E-Mail-Haupttext und haben verschiedene Angaben in der Betreffzeile bzgl. einer wichtigen US-weiten Fluggesellschaft, wobei gestohlene Markenbezeichnungen als Köder verwendet werden. Betrefftitel umfassen:
- Checking tracking number (Prüfung der Trackingnummer)
- Check your package (Prüfung Ihres Pakets)
- Check your TN (Prüfen Sie Ihre T-Nr.)
- Check your tracking number (Prüfen Sie Ihre Trackingnummer)
- Tracking information (Trackinginformationen)
- Track your package (Verfolgen Sie Ihr Paket)
Abbildung 1: E-Mail mit einem überzeugenden Köder und betrügerischer Markenbezeichnung zur Übermittlung der schädlichen Ransomware-URLs
Diese Kampagne richtet sich in erster Linie an bundesstaatliche und örtliche Regierungsämter sowie primäre und sekundäre Schulen. Die E-Mails wurden in kleineren Mengen an Einrichtungen im Gesundheitswesen, Telekommunikationswesen, Versicherungswesen und an mehrere andere vertikale Branchen gesendet.
Abbildung 2: Vertikale Ziele nach indiziertem E-Mail-Volumen
Analyse
Wir wählten den Namen für diese Ransomware basierend auf einer Zeichenfolge „HelloWorldItsJokeFromMars“ im Code. Visuell ahmt es den Stil von CTB-Locker[3] nach, einschließlich der dem Nutzer angezeigten Hifsanwendung und des Onion-Portals.
Um Opfer darauf aufmerksam zu machen, dass sie infiziert und ihre Dateien verschlüsselt wurden, erstellt diese Ransomware die Dateien „!!! For Decrypt !!!.bat“, „!!! Readme For Decrypt !!!.txt“ und „ReadMeFilesDecrypt!!!.txt“, die im Dateisystem des Opfers verstreut werden, ähnlich wie bei vielen anderen Arten von Ransomware.
Abbildung 3: Ransomware Readme-Dateien
Verschüsselte Dateien behalten ihre ursprünglichen Namenserweiterungen. Temporäre Dateien mit den Namenserweiterungen „.a19“ und „.ap19“ werden während der Verschlüsselung verwendet, danach jedoch gelöscht.
Abbildung 4: Temporäre Dateien, die bei der Verschlüsselung verwendet werden
Die Readme-Datei weist betroffene Nutzer an, entweder die Anweisungen im Locker-Fenster zu befolgen oder nach dem Installieren eines Tor-Browsers ein Onion-Portal zu besuchen, auf dem sie dieselben Anweisungen erhalten können.
Abbildung 5: MarsJoke-Textdatei mit Inhalt der Lösegeldforderung
Der Desktop-Hintergrund des Opfers ändert sich und es wird ein Dialogfeld mit der Lösegeldforderung eingeblendet. Dieses Dialogfeld ist in mehreren Sprachen einschließlich Englisch (beim Testen die Standardsprache), Russisch, Italienisch, Spanisch und Ukrainisch verfügbar. Opfer haben 96 Stunden Zeit, um das Lösegeld von 0,7 BTC (derzeit 319,98 USD) zu zahlen, bevor die Dateien gelöscht werden.
Abbildung 5: Der Desktop-Hintergrund des Opfers wird geändert
Das Netzwerk-Kommunikationsprotokoll besteht aus dem Einchecken beim C&C-Server (Command and Control), um eine neue Infektion zu melden, gefolgt von einem ausführlicheren Check-in, der zahlreiche Felder wie Signatur, Malware-Version usw. meldet und URL-codierte, base64-codierte Daten überträgt.
Abbildung 6: Anfängliches Malware C&C-Check-in
Abbildung 7: Malware-Nachverfolgung und C&C-Check-in
Schließlich bietet die Ransomware dem Nutzer ein onion-gehostetes Webpanel als Schnittstelle, um Anweisungen zur Methode, mit der das Lösgeld gezahlt werden muss, zu erhalten.
Abbildung 8: Onion-gehostetes Webpanel, das auch Anweisungen für die Zahlung des Lösegelds enthält.
Fazit
Ransomware ist für Internetbetrüger zu einem Geschäft in Milliarden-Dollarhöhe pro Jahr geworden. Im Fall der hier beschriebenen MarsJoke-Kampagne werden bildende Institutionen und bundesstaatliche und örtliche Regierungsämter oft als einfache Ziele angesehen, da ihnen die Infrastruktur und das Budget fehlt, um robuste Backups und starke defensive Ressourcen einzurichten, um Infektionen zu verhindern und abzuwehren. MarsJoke scheint jedoch keine „übliche, weitere Ransomware“ zu sein. Das E-Mail-Volumen und die Ziele dieser Kampagne machen eine weitere Überwachung erforderlich, da Angreifer versuchen, mit neuen Varianten und alten Stämmen durch die Sättigung potenzieller Opfer Geld zu erpressen.
Indicators of Compromise (IOCs – Anzeichen einer Gefährdung)
|
IOC |
IOC-Typ |
Beschreibung |
|
[hxxp://traking[.]accountant/download/file_6[.]exe] |
URL |
Gehosteter MarsJoke |
|
[hxxp://traking[.]download/download/file_6[.]exe] |
URL |
Gehosteter MarsJoke |
|
[hxxp://traking[.]host/download/file_6[.]exe] |
URL |
Gehosteter MarsJoke |
|
[hxxp://traking[.]loan/download/file_6[.]exe] |
URL |
Gehosteter MarsJoke |
|
[hxxp://traking[.]pw/dw/file_6[.]exe] |
URL |
Gehosteter MarsJoke |
|
[hxxp://traking[.]space/download/file_6[.]exe] |
URL |
Gehosteter MarsJoke |
|
[hxxp://traking[.]webcam/dwnload/file_6[.]exe] |
URL |
Gehosteter MarsJoke |
|
[buxnfuoim27a3yvh[.]onion[.]link] |
URL |
Ransomware C&C |
|
7e60a0d9e9f6a8ad984439da7b3d7f2e2647b0a14581e642e926d5450fe5c4c6 |
SHA256 |
MarsJoke |
Verweise
[1] https://www.proofpoint.com/de/daily-ruleset-update-summary-20160826
[2] https://www.proofpoint.com/de/threat-insight/post/cryptfile2-ransomware-returns-in-high-volume-url-campaigns
[3] http://malware.dontneedcoffee.com/2014/07/ctb-locker.html
[4] http://garwarner.blogspot.com/2016/08/american-airlines-spam-from-kelihos.html
[5] http://garwarner.blogspot.com/2016/08/kelihos-botnet-sending-panda-zeus-to.html
[6] http://garwarner.blogspot.com/2016/08/amazon-gift-card-from-kelihos.html
Ausgewählte Signaturen, die bei solchem Verkehr ausgelöst werden:
2821818 || ETPRO TROJAN Ransomware.MarsJoke-Checkin
2022332 || ET POLICY DNS-Abfrage zu .onion Proxy-Domäne (onion.link)
2021997 || ET POLICY Externer IP-Lookup api.ipify.org