Hacker setzen KeyPass-Ransomware für manuelle Angriffe ein

In über 20 Ländern wurde eine neue Variante von Keypass mit manueller Funktion vermerkt

Sicherheitsforscher von Kaspersky Labs haben einen Bericht über eine neue Variante der Erpressersoftware KeyPass veröffentlicht, welche seit dem 8. August auf der ganzen Welt im Umlauf ist. Die Schadsoftware hat eine neue Funktion erhalten, die es Angreifern ermöglicht, den bösartigen Code aus der Ferne zu modifizieren, wodurch sie das Verschlüsselungsverfahren ändern können.

Sicherheitsexperten stellten fest, dass es bereits über 100 Opfer gibt, die meisten von ihnen aus Entwicklungsländern. Am stärksten betroffen waren Opfer aus Brasilien (19,5%) und Vietnam (14,6%). Unter den Opfern befanden sich außerdem Einwohner von Algerien, Indien, Iran, sowie einige wenige Betroffene aus Frankreich und Deutschland.

Es ist noch nicht viel darüber bekannt, wie KeyPass verbreitet wird. Einige Benutzer haben jedoch erwähnt, dass sie versucht haben, das Cracking-Programm KMSpico herunterzuladen. Andere behaupteten, sie hätten vor dem Schadsoftware-Angriff nichts auf ihren Rechnern installiert.

Die Funktionsweise von KeyPass

Der KeyPass-Virus ist eine Variante der STOP-Ransomware, die im Februar 2017 entsprungen ist. Sobald die Schadsoftware auf den Zielrechner gelangt, kopiert sie ihre Programmdatei in den Ordner %LocalAppData%. Nachdem der Infizierungsprozess abgeschlossen ist, löscht sie sich von selbst. Vor ihrer Entfernung kopiert die Schadsoftware jedoch ihren eigenen Prozess an verschiedene Stellen auf dem Gerät. Schon kurz danach sucht die Ransomware, wie folgt von Forschern beschrieben, nach zu verschlüsselnden Dateien:

KeyPass geht alle lokalen Laufwerke und Netzwerkfreigaben, die von der infizierten Maschine aus erreichbar sind, durch und sucht nach sämtlichen Dateien, unabhängig ihres Dateityps. Es ignoriert Dateien in einer Anzahl von Verzeichnissen, deren Pfade fest in das Muster einprogrammiert sind.

Der Virus versucht anschließend sich mit seinem C&C-Server zu verbinden, um eine persönliche ID und einen Verschlüsselungsschlüssel abzurufen, mit dem alle Daten wiederhergestellt werden können.

Daraufhin verschlüsselt KeyPass die Dateien nach dem Verschlüsselungsverfahren AES-256 und markiert sie mit der Erweiterung .KEYPASS, wodurch die persönlichen Daten unbrauchbar werden. Zusätzlich wird in jedem betroffenen Ordner die Lösegeldforderung !!!KEYPASS_DECRYPTION_INFO!!!!.txt abgelegt. Hacker fordern dort $300 in BTC für die Dateifreigabe und weisen darauf hin, dass sich der Betrag erhöht, wenn die Zahlung nicht innerhalb von 72 Stunden vollbracht wird.

Falls die Internetverbindung auf dem infizierten PC nicht hergestellt werden kann oder der C&C-Server nicht erreichbar ist, verschlüsselt die Schadsoftware die Daten mit einer fest codierten ID, sodass die Daten relativ einfach wiederhergestellt werden können.

Manuelle Steuerung ermöglicht es Hackern, gezielte und gefährlichere Angriffe vorzubereiten

Der KeyPass-Trojaner enthält ein Formular, das geschickt versteckt ist. Allerdings kann es durch Drücken einer bestimmten Taste auf der Tastatur aufgerufen werden. Kaspersky-Spezialisten behaupten, dass Hacker mit dieser Funktion manuelle Kontrolle über das schädliche Programm bekommen.

Während die versteckte Funktion Opfern wahrscheinlich nicht viel bedeutet, können Hacker sie nutzen, um die Parameter der Schadsoftware manuell zu ändern, einschließlich:

  • Opfer-ID,
  • Dateierweiterung,
  • Name der Lösegeldforderung,
  • Kontext der Lösegeldforderung,
  • Verschlüsselungsschlüssel usw.

Das bedeutet zudem auch, dass die Höhe des Lösegeldes geändert werden kann.

Ransomware gehört zu den gefährlichen Arten von Schadsoftware und ist seit 2013 mit der Veröffentlichung von CryptoLocker gang und gäbe. Es wurden Botnetze eingerichtet, die die Verbreitung von Schadsoftware erheblich erleichterten. Einige Viren sperrten die Bildschirme, indem sie gefälschte Nachrichten vom vermeintlichem FBI oder der Polizei anzeigten. Andere Bedrohungen wie WannaCry und Petya hingegen zerstörten für mehrere Tage den Betrieb mehrerer hochrangiger Organisationen und Regierungsinstitutionen. Unternehmen erlitten Schäden in Millionenhöhe.

Ransomware ist daher nach wie vor eine der größten Cyberbedrohungen und Computernutzern wird dringend geraten grundlegende Sicherheitsmaßnahmen ergreifen, um solche Angriffe zu vermeiden.

Über den Autor
Lucia Danes
Lucia Danes - Virenexpertin

...

Lucia Danes kontaktieren
Über die Firma Esolutions

In anderen Sprachen
Dateien
Software