Übersicht
Proofpoint entdeckte am 4. Oktober eine weitere neue Ransomeware die sich „Hades Locker“ nennt und die Ransom-Nachricht von „Locky“ nachahmt. „Hades Locker“ scheint eine Weiterentwicklung von „Zyklon Locker“ und „Wildfire Locker“[1] zu sein, die nach unserer Beobachtung früher in diesem Jahr dasselbe Botnet (Kelihos[2]) gesendet haben. Die jüngst dokumentierte CryptFile2-[3] und MarsJoke-[4]Kampagnen verwendeten ebenfalls dassselbe Spam-Sende-Botnet und ähnliche Verteilermethoden (transportbezogene E-Mail-Köder). Doch während die Kampagnen „CryptFile2“ und „MarsJoke“ örtliche und staatliche Behörden anvisierten, konzentriert sich die aktuelle „Hades Locker“-Kampagne auf Hersteller und Dienstleistungsbetriebe.
E-Mail-Kampagnen
Am 4. Oktober entdeckte Proofpoint die Ransome-Ware-E-Mail-Kampagne „Hades Locker“. Die E-Mails enthielten URLs, die mit einem Microsoft Word-Dokument namens „levering-1478529.doc“ (willkürliche Zahlen, „levering“ ist niederländisch für „Lieferung“) verlinkt sind, das offensichtlich zur Unterstützung der Kampagne auf verschiedenen Sites mit neu registrierten Domänen gehostet wird. Dies weicht von den wesentlich häufigeren Kampagnen mit angefügten Dokumenten ab, die wir in letzter Zeit bei zahlreicher Malware beobachtet haben, einschließlich der weitverbreiteten Locky-Ransomware, passt jedoch zu den Methoden der MarsJoke-Kampagne.
Abb. 1: Das Dokument, das die endgültige Nutzlast herunterlädt
Diese Kampagne war klein (Hunderte von Nachrichten) und visierte hauptsächlich Hersteller- und Dienstleistungsbetriebe in Westeuropa an.
Analyse
Um die Opfer darauf aufmerksam zu machen, dass sie infiziert sind und ihre Dateien verschlüsselt wurden, erstellt diese Ransomware, ähnlich wie viele andere Ransomeware-Typen, mehrere Dateitypen, die durch das gesamte Dateisystem verstreut werden.
- README_RECOVER_FILES_[16 Zeichen].txt
- README_RECOVER_FILES_[16 Zeichen].html
- README_RECOVER_FILES_[16 Zeichen].png
Verschlüsselte Dateien erhalten eine neue Erweiterung, z. B. „.~HL233XP“, „.~HLJPK1L“ oder „.~HL0XHSF“. Die ersten vier Zeichen der neuen Erweiterung - „.~HL“ - sind immer gleich, während sich die übrigen 5 unterscheiden.
Abb. 2: Veränderte Dateien mit neuer Erweiterung
Die Ransom-Nachricht wird als Textdatei, HTML-Datei und Abbild auf dem Desktop abgelegt.
Abb. 3: Abbild der Ransom-Nachricht „Hades Locker“
Abb. 4: Textdatei der Ransom-Nachricht „Hades Locker“
Abb. 5: HTML-Datei der Ransom-Nachricht „Hades Locker“
Die Nachricht drängt das Opfer, „das Entschlüsselungspasswort zu Ihren Dateien zu kaufen“. Das Opfer wird dann angewiesen, eine Webseite oder „Onion“-Website zu besuchen. Die Entschlüsselungs-Site verlangt ein Bitcoin (600 US-Dollar zur derzeitigen Wechselrate), um die Entschlüsselung bereitzustellen.
Abb. 6: Landeseite der Entschlüsselungs-Site für „Hades Locker“
Das „Helpdesk“-Register gibt dem Benutzer die Option, ein Beispiel einer verschlüsselten Datei einzureichen und verspricht, dass die Akteure die entschlüsselte Datei innerhalb von 24 Std. zurücksenden. Auf diese Weise soll bewiesen werden, dass eine Entschlüsselung möglich ist, und die Opfer dazu verleitet werden, das Lösegeld zu zahlen.
Abb. 7: Helpdesk zum Chatten mit den Autoren der Malware
Schließlich wird ein „Entschlüsselungs-Tutorial“ angeboten, das dem Opfer angeblich helfen soll, das Entschlüsselungstool auszuführen, das nach der Bezahlung bereitgestellt wird. Es ist uns nicht bekannt, ob dieses Tool tatsächlich geliefert wird.
Abb. 8: Registerkarte für das „Entschlüsselungs-Tutorial“
Ähnlichkeiten zu Locky
Hades Locker scheint Locky zumindest optisch in mancher Weise nachzuahmen. Beispiel: Abb. 9 hebt die Ähnlichkeiten der Ransom-Nachricht hervor, die dem Benutzer angezeigt wird.
Abb. 9: Ähnlichkeiten zwischen der Ransom-Nachricht für Hades Locker (links) und Locky (rechts) Das hier gezeigte Ransom-Abbild für Locky ist eine frühe Version, die späteren Versionen sind etwas komplizierter.
Abb. 10: Ähnlichkeiten der Textversion der Ransom-Nachrichten für Hades Locker (links) und Locky (rechts)
Wir konnten bisher nicht feststellen, ob es sich einfach um Nachahmung oder eine Wiederverwendung des Codes handelt, oder ob eine stärkere Verbindung zwischen den beiden Varianten besteht.
Netzwerkverkehrsanalyse
Die Malware versucht zuerst, die externe IP-Adresse, Region, Land und ISP des Opfers über eine Anfrage an ip-api.com festzustellen. Danach versucht sie, sich über eine ihrer fest codierten Domänen an einem Befehls- und Kontrollserver (C&C) anzumelden.
Abb. 11: „Hades Locker“-Verkehr, beobachtet bei Ausführung der Malware
Beim Check-in beim C&C-Server haben wir die Berichterstattung verschiedener Bereiche beobachtet, z. B. eindeutige ID, Verfolgungs-ID (wahrscheinlich eine Kampagnen-ID), Benutzer- und Computername, externe IP-Adresse und das Land des Opfers (wird über den Aufruf bei ip-api.com festgestellt). Der Server reagiert mit einer Statusnachricht und einem „PASSWORT“-Feld in Klartext. Wir vermuten, dass dieses Passwort zur Verschlüsselung verwendet wird, was die Verschlüsselung trivial macht, sofern das Opfer Netzwerkverkehr erfasst.
Abb. 13: C&C-Server Check-in
Fazit
Hades Locker ist die jüngste einer fortlaufenden Serie von Ransomware-Varianten, die wir beobachtet haben. Anscheinend wurde das Kelihos-Botnet dazu verwendet, sowohl die Vorgänger von Hades Locker (Wildfire und Zyklon) als auch die CryptFile2- und MarsJoke-Kampagnen zu senden, die wir kürzlich aufdeckten. Die Ransomware selbst ahmt optisch die frühen Versionen von Locky nach, doch unabhängig von der genauen Abstammung der Varianten nehmen Ransom-Angriffe zu und die Akteure erforschen immer neue Verteilungsmethoden, wie z. B. Links zu gehosteter Malware. Wir überwachen die Entwicklung von Ransomeware und ihren Einfluss auf Unternehmen und Einzelpersonen, während sie immer weiter kommerzialisiert wird und neue Varianten mit ähnlichen Funktionen und Aussehen auf den Markt kommen.
Verweise
- https://blog.kaspersky.com/wildfire-ransomware-decryptor/12828/
- http://garwarner.blogspot.com/2016/07/kelihos-botnet-delivering-dutch.html
- https://www.proofpoint.com/de/threat-insight/post/cryptfile2-ransomware-returns-in-high-volume-url-campaigns
- https://www.proofpoint.com/de/threat-insight/post/MarsJoke-Ransomware-Mimics-CTB-Locker
Indicators of Compromise (IOCs – Anzeichen einer Gefährdung)
|
IOC |
IOC-Typ |
Beschreibung |
|
hxxp://transportbedrijfvanetten[.]nl/downloads/levering-7834535.doc |
URL |
URL in E-Mail |
|
hxxp://leursmatransport[.]nl/downloads/levering-1245789.doc |
URL |
URL in E-Mail |
|
hxxp://transportbedrijfbrenninkmeijer[.]nl/downloads/levering-739176.doc |
URL |
URL in E-Mail |
|
hxxp://breesmanstransport[.]nl/downloads/levering-1478529.doc |
URL |
URL in E-Mail |
|
hxxp://185.45.193[.]169/update.exe |
URL |
Von Dokumenten heruntergeladene Nutzlast (Hades Locker) |
|
37004c5019db04463248da8469952af8ed742ba00cfa440dd65b2d94d0856809 |
SHA256 |
Update.exe (Hades Locker) |
|
hxxp://pfmydcsjib[.]ru/config.php |
URL |
Hades Locker C2 |
|
hxxp://jdybchotfn[.]ru/config.php |
URL |
Hades Locker C2 |
Ausgewählte Signaturen, die bei solchem Verkehr ausgelöst werden:
2822388 || ETPRO TROJAN MSIL/HadesLocker Ransomwar – Check-in