Woche 23: Auch Ransomware wird plagiiert
Britney Spears weist den Weg zu Schnüffel-Server, Linux-Malware mag nur Raspberry Pi und Windows 10 S soll absolut sicher sein vor Ransomware. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.
Böse Zungen behaupten, dass in China alles kopiert und plagiiert wird. Im Falle des Erpresser-Schadprogramms Wannacry trifft dies tatsächlich zu. Die Malware verwende vergleichbare Grafiken wie das Original, das im Mai zahlreiche IT-Systeme auf der ganzen Welt verschlüsselt hatte.
Die Wanna-Kopie befällt Android-Smartphones. Sie verstecke sich als ein Plugin für das in China sehr beliebte Handy-Game King of Glory, berichtet Bleepingcomputer. Verbreitet werde das Schadprogramm wie Gaming-Foren.
Was den Code betrifft, sei die Ransomware recht fortgeschritten. So verschlüssele sie tatsächlich die Dateien auf dem Smartphone. Dies sei für Android-Ransomware noch immer unüblich, zumal die meisten solcher Schadprogramme lediglich einen Sperrbildschirm aufschalten.
Trotz der soliden Programmierleistung sollen dahinter laut dem Bericht jedoch Amateure stecken – die ums Verrecken verhaftet werden wollen. Im Gegensatz zu quasi allen anderen Ransomware-Varianten, die derzeit kursieren, wollen die Kriminellen hinter dem Wanna-Plagiat kein Lösegeld in Bitcoins.
Stattdessen fordern sie ihre Opfer dazu auf, 40 chinesische Yuan, knapp 6 Franken, zu zahlen – via Bezahldienste wie QQ, Alipay oder Wechat. Die Polizei könnte jeweils innert Minuten herausfinden, an wen die Zahlungen gingen, schreibt Bleepingcomputer. Die chinesischen Behörden seien den Übeltätern in solchen Fällen schnell auf der Spur, weil sie tief in die Daten der lokalen Tech-Firmen blicken könnten.
Keine Hardware zu klein, ein Ziel zu sein
Der andere russische Anbieter von Anti-Virus-Lösungen – Dr. Web – hat vor einem neuen Trojaner gewarnt. Dieser befällt wohl eine Nische in einer Nische. Denn die Malware infiziert nur Linux-Systeme. Und nur den Einplatinencomputer Raspberry Pi.
Ist der Trojaner auf dem Mini-PC, deaktiviert es verschiedene Prozesse und installiert dubiose Datenbanken. Zudem ändert es das Passwort des Benutzers "Pi" in “\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1”.
Der Trojaner namens Linux.MulDrop.14 verfolgt mit all diesen Massnahmen ein bestimmtes Ziel: Es will Bitcoins minen. Dadurch erhalten die Kriminellen Einheiten der Kryptowährung Bitcoin.
Nebenbei sucht die Malware fortlaufend im Internet nach Geräten mit offenem SSH-Port 22. Wird sie fündig, versucht sie sich mit dem Benutzernamen "pi" und dem Passwort "raspberry" einzuloggen. Kann sie sich so Zugriff auf das Gerät verschaffen, installiert sie darauf eine Kopie von sich selbst und der Zyklus beginnt von Neuem.
Windows 10 S soll absolut sicher sein vor Ransomware
Keine Angst vor Ransomware hat hingegen Microsoft. Das Unternehmen veröffentlichte einen Bericht mit dem Titel "Next-gen Ransomware Protection with Windows 10 Creators Update". Der Bericht beschreibt die neuen Schutzmassnahmen gegen derartige Erpresserangriffe im neuen Creators Update für Windows 10.
In dem Bericht behauptet Microsoft auch, das keine aktuell bekannte Ransomware Windows 10 S befallen könnte. Dabei handelt es sich um eine abgespeckte Version des Betriebssystems, das sich insbesondere an den Education-Markt richtet.
Streng genommen ist das wohl auch wahr, wie Bleepingcomputer berichtet. Denn das Betriebssystem erlaubt Nutzern lediglich Applikationen aus dem offiziellen Windows Store zu installieren. Das schränke die Möglichkeiten für Ransomware-Entwickler stark ein.
Das könnte sich jedoch alles ändern, sobald Windows 10 S tatsächlich veröffentlicht wird und das Entwicklungsstadium hinter sich lässt.
Und Britney Spears weist den Weg zu Schnüffel-Server
Die Turla-Gruppe hat wiedermal von sich hören lassen. Die cyberkriminelle Gruppierung versucht immer mal wieder Regierungen zu bespitzeln, wie Sicherheitsanbieter Eset mitteilt. Auch der Ruag-Hack soll auf Turlas Konto gehen. Die Gruppe greift dabei auch auf altbewährte Taktiken zurück. Darunter fallen etwa Watering-Hole-Attacken.
Bei einer solchen Attacke infizieren Cyberkriminelle Websites, die das potenzielle Opfer aufrufen könnte. Oder anders gesagt: die Lieblingswebsites des Ziels. Das Opfer soll auf Turlas Command-and-Control-Server (C&C-Server) gelockt werden. Dort infiziert es sich mit Fingerprint-Skripte, die Informationen zum Opfer sammeln.
Diese Taktik verwende die Turla-Gruppe bereits seit 2014, schreibt Eset. Mit nur minimalen Anpassungen. Die aktuelle Kampagne etwa nutzt eine Hintertür, die durch eine bösartige Firefox-Erweiterung auf den Rechner gelangt. Die Extension namens HTML5 Encoding 0.3.7 wurde laut Eset über die kompromittierte Website einer Schweizer Sicherheitsfirma verbreitet. Um welche Firma es sich dabei handelt, schreibt Eset nicht.
Um Kontakt zum C&C-Server zu erhalten, macht die Erweiterung jedoch einen Umweg. Sie ruft zunächst das Instagram-Profil der US-amerikanischen Sängerin Britney Spears auf. Der Link zum C&C-Server ist in den Kommentaren zu einem bestimmten Bild versteckt.
Die bösartige Erweiterung berechnet zu jedem Kommentar einen Hash-Wert. Stimmt dieser mit 183 überein, sucht das Skript entweder nach @ | # oder das Unicode-Zeichen \ 200d. Die Buchstaben, die direkt auf die gesuchten Zeichen folgen, ergeben den verkürzten Link zum C&C-Server.
Laut Eset wurde der Link jedoch nur 17 Mal angeklickt. Das könne darauf hinweisen, dass es sich nur um einen Testlauf handle.