Ransomware KeyPass erlaubt maßgeschneiderte Angriffe

Sicherheitsforschern ist eine neue Form von Ransomware durch weltweite Verbreitung seit dem 8. August 2018 aufgefallen. Dabei weisen Brasilien und Vietnam die höchsten Infektionszahlen auf, aber auch Opfer in Regionen einschließlich Afrika, Europa, Nahost und weiteren südamerikanischen sowie asiatischen Ländern sind betroffen.

Kaspersky Lab untersuchte eine Probe der Windows-Malware und fand heraus, dass der Code in C++ geschrieben und mit MS Visual Studio kompiliert wurde. Bei der Entwicklung kamen die Bibliotheken MFC, Boost und Crypto++ zum Einsatz. Der Header verrät ein kürzliches Kompilierungsdatum.

Auf dem Opfer des Computers kopiert die Malware ihre ausführbare Datei auf %LocalAppData% und startet sie, um sich dann selbst vom ursprünglichen Ort zu löschen. Anschließend erstellt sie mehrere Kopien des eigenen Prozesses und gibt Kodierungsschlüssel sowie eine ID für das jeweilige Opfer als Befehlszeilen-Argumente weiter. Beide bezieht sie gleich nach dem Start von einem Befehls- und Kontrollserver, kann aber bei einem System ohne Internetverbindung auf feste Vorgaben zurückgreifen.

Alle verschlüsselten Dokumente, Fotos, Datenbanken und weiteren wichtigen Dateien auf dem Rechner des Opfers erhalten die Erweiterung .KEYPASS. Danach wurde die Malware auch benannt – mit einer nur zufälligen Namensähnlichkeit zum Open-Source-Passwortmanager KeePass. Die Lösegeldforderung verlangt sodann den Kauf einer „Entschlüsselungs-Software“ sowie einmaligem privatem Schlüssel für 300 Dollar, wenn Betroffene wieder an die eigenen Daten kommen wollen – mit einem angedrohten höheren Preis nach Ablauf von drei Tagen. Eine Zahlungsmethode ist nicht genannt, vielmehr sollen die Opfer über eine in der Schweiz registrierte E-Mail-Adresse – mit einer indischen Ersatzadresse – mit den Kriminellen Kontakt aufnehmen und von ihnen weitere Instruktionen erhalten.

Als interessantestes Feature des KeyPass-Trojaners sieht Kaspersky die Fähigkeit, eine „manuelle Kontrolle“ zu übernehmen. Er enthält ein verstecktes Formular, dass erst durch einen bestimmten Tastendruck sichtbar zu machen ist. „Diese Fähigkeit könnte darauf hindeuten, dass die kriminellen Hintermänner den Trojaner für manuelle Angriffe einsetzen wollen“, schreiben die Sicherheitsforscher.

Mit veränderbaren Parametern können Angreifer somit für einen maßgeschneiderten Angriff sorgen. Anpassen lassen sich dabei der Kodierungsschlüssel, Titel und Text der Lösegeldforderung, Opfer-ID, Erweiterung der verschlüsselten Dateien sowie die Liste der von der Verschlüsselung auszunehmenden Pfade.

[mit Material von Danny Palmer, ZDNet.com]