Kaspersky Lab

 

Pressemitteilungen

28.07.2014

Neue Krypto-Ransomware „Onion“ erpresst Nutzer

Komplexer Nachfolger von Cryptolocker verschleiert sich via Tor-Netzwerk und wurde auch in Deutschland entdeckt

Moskau/lngolstadt, 28. Juli 2014 - Kaspersky Lab hat eine neue Ransomware mit dem Namen „Onion“ analysiert [1]. Die Erpressersoftware ist bereits in Deutschland aufgetaucht. Das Schadprogramm verschlüsselt Nutzerdaten, nutzt das anonyme Tor-Netzwerk („The Onion Router“) zur Verschleierung der Kommunikation und verlangt von seinen Opfern eine Zahlung von Bitcoins innerhalb von 72 Stunden. Technische Verbesserungen machen „Onion“ zu einem der derzeit fortschrittlichsten Verschlüsselungs-Trojaner.

„Onion“ tauchte bisher in russischer und englischer Sprache auf. Kaspersky Lab geht davon aus, dass der Trojaner von russischsprachigen Programmierern erstellt wurde. Bisher war „Onion“ vor allem in Russland, der Ukraine, Kasachstan und Weißrussland aktiv, allerdings wurden auch schon Einzelfälle in Deutschland, Bulgarien, Georgien, Israel, Libyen, der Türkei und den Vereinigten Arabischen Emiraten registriert. Kaspersky Lab identifiziert den Schädling unter dem Namen „Trojan-Ransom.Win32.Onion“.

 „Onion“ ist der Nachfolger der berüchtigten Verschlüsselungsprogramme CryptoLocker [2], CryptoDefence/CryptoWall, ACCDFISA und GpCode [3]. Beim dem Trojaner handelt es sich um eine neue Art von Verschlüsselungs-Ransomware, die einen Countdown-Mechanismus zur Abschreckung der Opfer mit der Forderung von Bitcoin-Zahlungen einsetzt, bei Nichtzahlung seien alle Dateien für immer verloren.

Für den Transfer geheimer Daten und Zahlungsinformationen kommuniziert „Onion“ mit Comand-and-Control-Servern (C&C), die anonym im Tor-Netzwerk beheimatet sind. Kaspersky Lab hat eine derartige Kommunikationsarchitektur nur bei wenigen Banking-Schädlingsfamilien wie bei der 64-bit-Variante von ZeuS [4] gesehen. Die Nutzung des Tor-Netzwerks hat zwei Vorteile: die schädliche Natur des Programms wird verschleiert und die Verfolgung der Hintermänner wird erheblich erschwert.

„Anscheinend hat sich Tor als Kommunikationsmittel bewährt und wird daher von verschiedenen Malware-Arten genutzt“, so Fedor Sinitsyn, Senior Malware Analyst bei Kaspersky Lab. „Die jüngsten Vorfälle haben gezeigt, dass ,Onion‘ über technische Verbesserungen verfügt, bei denen Tor-Funktionalitäten eingesetzt wurden. Die Nutzung von Command-and-Control-Servern in einem anonymen Netzwerk kompliziert die Suche nach den dahinterstehenden Cyberkriminellen. Zudem macht der Einsatz eines unorthodoxen Verschlüsselungsschemas die Entschlüsselung der Dateien unmöglich – auch wenn der Netzverkehr zwischen dem Torjaner und dem Server unterbrochen wird. Insgesamt handelt es sich um eine der aktuell gefährlichsten Bedrohungen sowie um einen der technologisch fortschrittlichsten Verschlüsselungs-Trojaner.“

Infektion in drei Stufen

Der Infektionsweg von „Onion“ erfolgt in drei Stufen: Zuerst wird ein Spambot-Programm über das Botnetz Andromeda auf ein Gerät (Backdoor.Win32.Androm) installiert. Der Bot erhält anschließend den Befehl, ein weiteres Stück Malware der Joleee-Familie auf das infizierte Gerät zu laden und auszuführen. Schlussendlich lädt das Joleee-Programm den „Onion“-Schädling auf das Gerät, der dann die finale Verschlüsselungs- und Erpressungsaktion durchführt.

Mit Backups und Virenschutz vorbeugen

Nutzer sollten für die wichtigsten Dateien regelmäßig Backups erstellen. Wichtig dabei ist: Die Backup-Dateien sollten auf einem Gerät gespeichert werden, das nur für den Backup-Prozess verwendet wird, beispielsweise Wechseldatenträger, die anschließend wieder vom Hauptgerät entkoppelt werden. Ansonsten droht den Backup-Dateien dasselbe Schicksal wie den Hauptdateien.

Eine aktuelle Sicherheitslösung wie Kaspersky Internet Security – Multi-Device [5] schützt vor Internetgefahren wie erpresserischer Ransomware.

 

Ein technischer Blogartikel über „Onion“ ist unter https://securelist.com/analysis/publications/64608/a-new-generation-of-ransomware abrufbar.

 

[1] https://securelist.com/analysis/publications/64608/a-new-generation-of-ransomware
[2] http://blog.kaspersky.com/cryptolocker-is-bad-news/ 
[3] http://securelist.com/blog/incidents/29784/ransomware-gpcode-strikes-back/ 
[4] http://securelist.com/blog/events/58184/the-inevitable-move-64-bit-zeus-enhanced-with-tor/ 
[5] http://www.kaspersky.com/de/multi-device-security 
 

Nützliche Links:

·         Blog “A new generation of ransomware”: https://securelist.com/analysis/publications/64608/a-new-generation-of-ransomware

·         Blog “Critroni Crypto Ransomware Seen Using Tor for Command and Control”: https://threatpost.com/critroni-crypto-ransomware-seen-using-tor-for-command-and-control/107306

·         Kaspersky Internet Security – Multi-Device: http://www.kaspersky.com/de/multi-device-security

Photo


  • PNG

  • PNG

Ihr Pressekontakt

Florian Schafroth

E-Mail senden

Tel. +49-(0)89-74 72 62-43
Fax +49-(0)89-74 72 62-17

Kaspersky Lab on the Web

Virenanalysten-Blogs