AstraLocker-Ransomware schließt Türen, um Cryptojacking zu verfolgen • The Register

Der Entwickler des Ransomware-Codes AstraLocker stellt Berichten zufolge den Betrieb ein und lenkt die Aufmerksamkeit auf die weitaus einfachere Kunst und das Verbrechen des Kryptojacking.

AstraLocker scheint ein Ableger der Ransomware-as-a-Service-Gang Babuk Locker zu sein, deren Quellcode letztes Jahr geleakt wurde. Beide wurden 2021 identifiziert. Der Entwickler von AstraLocker postete eine Zip Ordner mit Entschlüsselern für die AstraLocker-Ransomware über VirusTotal, die Bleeping Computer sagte sind legitim.

Die Entscheidung, herunterzufahren und eine Art Gegenmittel zu veröffentlichen, kommt, nachdem ReversingLabs letzte Woche die neueste Version der Ransomware – AstraLocker 2.0 – detailliert beschrieben hat, die einige interessante Macken aufwies, und inmitten von Berichten, dass Emsisoft an einem universellen Entschlüsseler für die Windows-Malware arbeitet.

Gleichzeitig haben Regierungen auf der ganzen Welt, einschließlich der Vereinigten Staaten, ihre Bemühungen verstärkt, einige Ransomware-Operationen einzustellen und Verhaftungen vorzunehmen, da Ransomware-Kampagnen an Zahl und Sichtbarkeit weiter zunehmen.

Da AstraLocker mehr Aufmerksamkeit geschenkt wird, sind die Betreiber der fiesen Dateiverschlüsselung möglicherweise besorgt, dass sie bald einer offiziellen Prüfung unterzogen werden, was ihre Entscheidung, den Betrieb einzustellen, befeuert. Es wird gesagt, dass der Hersteller der Software auf Kryptojacking umsteigt, bei dem kompromittierte Geräte leise angewiesen werden, Kryptowährung für die Schurken abzubauen, anstatt Dokumente zu verschlüsseln und ein Lösegeld zu fordern.

Laut ReversingLabs Aufschreibenwird die Ransomware AstraLocker 2.0 direkt von Microsoft Office-Dateien verbreitet, die Opfer durch Tricks öffnen.

Joseph Edwards, leitender Malware-Forscher bei ReversingLabs, schrieb, dass die „Smash-and-Grab-Angriffsmethodik sowie andere Merkmale darauf hindeuten, dass der Angreifer hinter dieser Malware wenig qualifiziert ist und darauf aus ist, Störungen zu verursachen, verglichen mit dem geduldigeren, methodischeren und maßvolleren Ansatz zu Kompromissen, die von Babuk und anderen, raffinierteren Ransomware-Outfits verwendet werden.”

siehe auch  Samsung Galaxy S23 Ultra könnte mit unveröffentlichtem Qualcomm-Chipsatz kommen: Bericht

Der mit AstraLocker 2.0 verwendete Ansatz „unterstreicht das Risiko, das für Organisationen nach Codelecks wie dem von Babuk besteht, da eine große Anzahl von Akteuren mit geringer Qualifikation und hoher Motivation den durchgesickerten Code für ihre eigenen Angriffe nutzt“, fügte Edwards hinzu.

Der Babuk-Quellcode wurde im September 2021 geleakt und ReversingLabs sagte, dass gemeinsam genutzter Code und Kampagnenmarkierungen AstraLocker und Babuk verknüpfen. Darüber hinaus schrieb der Forscher, dass eine von AstraLocker für Lösegeldzahlungen aufgeführte Monero-Kryptowährungs-Wallet-Adresse mit der Chaos-Ransomware-Gang verbunden ist.

Babuk trat Anfang 2021 auf und wurde mit einer Reihe hochkarätiger Infektionen in Verbindung gebracht, darunter eine im April 2021 Schlag die Metropolitan Police Department in Washington DC. Die AstraLocker-Ransomware tauchte ungefähr zur gleichen Zeit auf, als Babuks Code geleakt wurde. AstraLocker 2.0 wurde im März dieses Jahres entdeckt. Laut Edwards von ReversingLabs war die neueste Version insofern ungewöhnlich, als die Angreifer Ransomware an die Opfer schoben, unmittelbar nachdem sie einen bösartigen Dateianhang geöffnet hatten, der der Köder der Kampagne war.

„Normalerweise vermeiden es Affiliate-Bedrohungsakteure, Ransomware frühzeitig zu pushen, und entscheiden sich stattdessen dafür, Dateien zu pushen, die es ihnen ermöglichen, ihre Reichweite innerhalb der Zielumgebung zu erweitern“, schrieb er. „Ransomware wird fast immer zuletzt eingesetzt, nachdem der/die Domänencontroller des Opfers kompromittiert wurden, wodurch die Cyberkriminellen den Domänencontroller (z. B. Active Directory) verwenden können, um ein Gruppenrichtlinienobjekt bereitzustellen und alle Hosts in den betroffenen Domänen zu verschlüsseln.“

Opfer, die den schädlichen Anhang öffnen, benötigen jedoch nur wenige Klicks, um die Malware auszuführen, da die Nutzlast in einem OLE-Objekt (Object Linking and Embedding) gespeichert ist. Der Benutzer muss auf das Symbol im Dokument doppelklicken und der Ausführung einer eingebetteten ausführbaren Datei namens „WordDocumentDOC.exe“ zustimmen.

siehe auch  Crossplay für King of Fighters 15, Undo für Samurai Shodown und mehr von SNK auf der Evo angekündigt

„Das Erfordernis so vieler Benutzerinteraktionen erhöht die Wahrscheinlichkeit, dass die Opfer zweimal darüber nachdenken, was sie tun“, schrieb Edwards. „Das ist einer der Gründe, warum OLE-Objekte bei der Malware-Bereitstellung weniger Verwendung finden als die beliebtere VBA-Makro-Infektionsmethode, bei der der Benutzer nur Makros aktivieren muss, um sie auszuführen.“

Andere ungewöhnliche Aspekte von AstraLocker 2.0 waren die Verwendung von Safengine Shielden v2.4.0.0, einem veralteten Packer, der es schwierig machte, die Samples, die ReversingLabs zurückentwickeln konnten, und die Anwendung von Umgehungstaktiken wie die Überprüfung, ob der Host eine virtuelle Maschine ist. Die Malware versucht auch, Anwendungen zu deaktivieren, die den Datenverschlüsselungsprozess blockieren oder stören könnten.

Edwards stellte fest, dass Cyberkriminelle bei hastig gestarteten Smash-and-Grab-Angriffen leicht Fehler machen können. Im Fall von AstraLocker 2.0 hat der Angreifer „keine Möglichkeit, den Entschlüsseler an die Opfer auszugeben, selbst wenn ein Lösegeld gezahlt wird. Dies macht diesen Angriff sowohl rücksichtslos als auch zerstörerisch“, schrieb er.

Wie sich der Ausstieg der AstraLocker-Betreiber aus der Ransomware-Szene auf die Opfer von AtraLocker 2.0 auswirken wird, bleibt unklar. Es ist jedoch nicht beispiellos, dass Ransomware-Gruppen Entschlüsselungsschlüssel anbieten, wenn sie den Betrieb beenden. Andere Gruppen, darunter Ragnorak, FilesLocker, Crysis und Avaddon, haben dasselbe getan. ®

Newsletter

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.