[English]Momentan ereignen sich merkwürde Sachen. Der Bedrohungsakteur, der hinter der weniger bekannten Ransomware AstraLocker steckt, will wohl seine Aktivitäten einstellen. Der Akteur plant auf Kryptojacking umzusteigen und hat ein Archiv mit AstraLocker-Entschlüsselungsprogrammen veröffentlicht. Ich versuche mal die mir bekannten Sachverhalte zusammen zu fassen, obwohl vieles unklar ist, auch wenn sich der Akteur vermutlich auch in meinem englischsprachigen Blog gemeldet hat.
Anzeige
Was zu AstraLocker
Die Bedrohungsakteure unter dem Namen AstraLocker waren mir bisher eigentlich unbekannt. Lediglich gestern hatte ich im Blog-Beitrag AstraLocker 2.0: Infektion per Word-Anhang über einen solchen Akteur berichtet. Dessen Schadsoftware war Sicherheitsforschern von ReversingLabs ins Netz gegangen. Sie stießen in Phishing-Mails auf diese relativ unbekannte Schadsoftware. In der Version 2.0 sind die Angreifer dazu übergegangen, die schädliche Nutzlast direkt aus einem Word-Dokument, welches als Anhang zu einer Mail mitgeliefert wird, nachzuladen. Das war recht ungewöhnlich, weil Ransomware-Gruppen bisher versuchten, die Erkennung möglichst lange zu vermeiden.
Merkwürdiger Hinweis auf Decryptor-Archiv
Zu meinem englischsprachigen Blog-Beitrag AstraLocker 2.0: Infection via Word attachment schlug gestern ein ungewöhnlicher Kommentar ein. Ein Besucher des Blogs mit dem Namen AstraLocker teilte einen Link auf ein Decryptor-Archive mit, das auf Virustotal hochgeladen wurde.
Link auf virustotal.com
Its all from me
So ganz verstanden habe ich das Ganze nicht, zumal er schrieb, dass Bleeping Computer seine Registrierung über Tor reparieren solle. Kollege Lawrence Abrams, der Bleeping Computer betreibt, war am gestrigen US-Unabhängigkeitstag auch abwesend, so dass er meine private Anfrage auf Twitter nicht beantworten konnte. Der Link auf VirusTotal zeigt, dass dort eine Archivdatei AstraLocker Decryptors.zip hochgeladen wurde.
AstraLocker Decrytoren auf VirusTotal
Anzeige
Dieses Archiv wird aber von 42 Virenscannern als schädlich markiert. Verunsichert war ich auch, weil es ja im vorhergehenden Blog-Beitrag AstraLocker 2.0: Infection via Word attachment hieß, dass die Leute wohl über begrenzte Fähigkeiten für den Betrieb einer Ransomware-Plattform besäßen.
So ganz aus dem hohlen Bauch heraus reimte ich mir zusammen, dass der Kommentar auch ein Versuch des "Dummenfangs" sein könnte. Einfach die Ransomware in eine ZIP-Archiv packen und irgendwo hochladen, in der Hoffnung, dass Leute drauf hereinfallen. Das betreffende ZIP-Archiv lässt sich in einer bestimmten Fassung von dieser Schweizer Webseite herunterladen. Hochgeladen wurde es von den Kollegen von Bleeping Computer.
Bleeping Computer: AstraLocker steckt auf
Nun hat sich der Bedrohungsakteur hinter AstraLocker wohl an Bleeping Computer gewandt und denen mitgeteilt, dass er seine Operationen im Ransomware-Bereich einstelle. Man wolle sich auf Kryptojacking fokussieren, also den Raub von Kryptoguthaben aus entsprechenden Konten. Die Kollegen zitieren den Ransomware-Entwickler Beitrag AstraLocker ransomware shuts down and releases decryptors mit:
It was fun, and fun things always end sometime. I'm closing the operation, decryptors are in zip files, clean. I will come back. I'm done with ransomware for now. I'm going in cryptojaking lol.
Also: Eigenauskunft des Akteurs ist, dass die Dateien mit den Entschlüsslern sauber seien, auch wenn diese auf VirusTotal als schädlich markiert werden. BleepingComputer hat das Archiv heruntergeladen und bestätigt, dass die Entschlüsselungsprogramme legitim sind und funktionieren. Sie haben eine Decryptor an Dateien getestet haben, die in einer aktuellen AstraLocker-Kampagne verschlüsselt wurden. Es gibt aber wohl eine Reihe an Entschlüsselern, von denen einige möglicherweise für frühere Kampagnen gedacht waren. Die Kollegen haben noch einige Details im Beitrag veröffentlicht und tippen darauf, dass dem Akteur die plötzliche Aufmerksamkeit durch Medien zu heiß gewesen sein könnte.
Anzeige
Virustotal meldet scheinbar zumeist "generische" Bedenken(beachte all die "Heur,"Gen","KI" in den Namen), bezeichnet den Virus nicht konkret.. (Jetzt finden 44/57 Scannern das File "beachtlich")
Und wenn man denkt was ein Decrypter machen soll (massenweise Dateien einlesen und wieder wegschreiben, könnte das schon zu einem False-Positive führen. Evtl. ist da eine Crypto-Lib drin, die die Meldung auslöst.
Wer weiß woruaf die scanner reagieren. Eine Zeitlang führt ein bestimmter exe-Zipper ja zu Fehlalarmen, weil der wirklich gut und kostenlos war und gerne verwendet wurden.
Zudem leben Virenscanner ja davon etwas zu finden, im Zeifel besser etwas zu viel als zu wenig…
Allerdings sich das schon sehr seltsam. Aber was echte Script"Kiddies" sind, wissen wie vielleicht nicht wie man das machen sollte?