PureLocker Ransomware zielt auf Linux, macOS, Windows

Cyber-Kriminelle haben eine neue Ransomware mit dem Namen PureLocker entwickelt, die gleich mehrere Betriebssysteme (Linux, macOS und Windows) infizieren kann.


Anzeige

Sicherheitsforscher von Intezer und IBM X-Force konnten Exemplare der neuen Ransomware für Windows analysieren. Aktuell wird aber auch eine Linux-Variante bei gezielten Angriffen gegen Produktionsserver eingesetzt – und damit ist auch macOS angreifbar.

In einer Mittwoch erschienenen Analyse gehen die Sicherheitsforscher auf die Details ein. Die Benennung als PureLocker erfolgte beispielsweise, weil die Ransomware in der Programmiersprache PureBasic geschrieben ist.

Das von den Sicherheitsforschern analysierte Windows-Beispiel ist eine 32-Bit-DLL, die sich als C++-Kryptobibliothek namens Crypto++ ausgibt. Aber die Sicherheitsforscher erkannten schnell, dass es sich nicht um die offizielle C++-Kryptobibliothek handelt. Denn bei der Analyse der Exports der DLL fiel auf, das die Bibliothek angeblich Funktionen zur Musikwiedergabe enthält.

VirusTotal
(VirusTotal-Analysen, Quelle: interzer.com, Zum Vergrößern klicken)

Als die Datei dann auf Virustotal zur Analyse hochgeladen wurde, stellten die Sicherheitsforscher fest, dass die Datei seit mehr als drei Wochen im Wesentlichen von Antivirus-Software unentdeckt geblieben ist – etwas, das bei einer bösartigen Datei recht selten ist. Bei der Ausführung in mehreren Sandbox-Umgebungen zeigte die Ransomware kein bösartiges oder verdächtiges Verhalten.

Erst nach einer genetischen Analyse der Datei durch Intezer wurden drei wichtige Beobachtungen gemacht:

  • Es gibt hier keine Crypto++ Codeverbindung, d.h. das Malware-Beispiel ist keine Crypto++ Bibliothek.
  • Die analysierte Datei enthält wiederverwendeten Code aus mehreren Malware-Familien, hauptsächlich aus Cobalt Gang Binärdateien. Das bedeutet, dass die Datei bösartig ist und möglicherweise Verbindungen zur Cobalt Gang hat.
  • Die größte Teil des relevanten Codes in dieser Datei deutet darauf hin, dass es sich wahrscheinlich um eine neue oder stark modifizierte Malware handelt.

Die Malware ist in der Windows-Variante so konzipiert, dass sie von regsrv32.exe als COM-Server-DLL registriert werden kann, Dadurch wird der DllRegisterServer-Export aufgerufen, in dem sich der Code der Malware befindet. Alle anderen Exports, die mit Musik zu tun haben, besitzen keine Funktionalität und sind nur zur Täuschung enthalten.


Anzeige

Falls alle von der Malware durchgeführten Antianalyse- und Integritäts-Bedingungen erfüllt sind, startet die Schadfunktion. Dann werden die Dateien auf dem Computer des Opfers mit der Standard-AES+RSA-Kombination mit einem fest kodierten RSA-Schlüssel verschlüsselt. Die Ransomware fügt die Erweiterung ".CR1" für jede verschlüsselte Datei hinzu. Es verschlüsselt hauptsächlich Datendateien und überspringt die Verschlüsselung für ausführbare Dateien entsprechend der Erweiterung der jeweiligen Datei.

Die Ransomware löscht dann die Originaldateien (z.B. durch Überschreiben und löschen), um eine Wiederherstellung zu verhindern. Sobald die Malware die Verschlüsselung abgeschlossen hat, hinterlässt sie eine Lösegeldnotizdatei auf dem Desktop des Benutzers namens YOUR_FILES.txt.


(Ransomware-Meldung, Quelle: interzer.com, Zum Vergrößern klicken)

In der Benachrichtigung wird keine Lösegeldforderung gestellt und keine Zahlungsart oder Geldbetrag genannt. Vielmehr wird das Opfer angewiesen, den Angreifer per E-Mail zu kontaktieren. Die Angreifer nutzen den anonymen und verschlüsselten E-Mail-Dienst von Proton. Jedes analysierte Beispiel enthielt eine andere E-Mail-Adresse, so dass die Angreifer zwischen verschiedenen Opfern unterscheiden und die individuellen Entschlüsselungsschlüsseln festlegen können (jede E-Mail entspricht einem bestimmten RSA-Schlüsselpaar). Dies ist ein weiterer Beweis dafür, dass sich diese Bedrohung von typischen Formen der Ransomware unterscheidet. Weitere Details zur Analyse der Ransomware findet sich im Artikel von intezer.com. (via Bleeping Computer)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Linux, macOS X, Sicherheit, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu PureLocker Ransomware zielt auf Linux, macOS, Windows

  1. Sam sagt:

    und wie kommt das auf den Rechner?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.