Sicherheitsforscher von BlackBerry haben am 16. März eine neue Ransomware-as-a-Service (RaaS)-Familie identifiziert und bis zu ihrer angeblichen Beta-Version zurückverfolgt.
Der Stamm namens LokiLocker verschlüsselt die Dateien der Opfer, macht kompromittierte Systeme unbrauchbar und verlangt ein Lösegeld, um den Zugriff wiederherzustellen. Der bösartige Dienst versucht auch, unerwünschte Aufmerksamkeit abzuschütteln, indem er iranische Bedrohungsakteure beschuldigt.
LokiLocker wurde erstmals im vergangenen August im Internet entdeckt und zielte auf Windows-PCs von englischsprachigen Personen ab.
„LokiLocker verschlüsselt die Dateien des Opfers auf lokalen Laufwerken und Netzwerkfreigaben mit einer Standardkombination aus AES für die Dateiverschlüsselung und RSA für den Schlüsselschutz“, so BlackBerry Sicherheitsberatung. „Dann fordert es das Opfer auf, den Angreifern eine E-Mail zu schicken, um Anweisungen zur Zahlung des Lösegelds zu erhalten.“
Bisher scheint LokiLocker die gleichen Verschlüsselungsfunktionen zu haben wie viele andere bekannte Ransomware Sorten. Angreifer können es jedoch auch so konfigurieren, dass es alle Nicht-Systemdateien löscht und den MBR überschreibt, wodurch das System unbrauchbar wird.
„LokiLocker bietet auch eine optionale Wiper-Funktion – wenn das Opfer nicht innerhalb des vom Angreifer angegebenen Zeitrahmens zahlt, werden alle Nicht-Systemdateien gelöscht und der MBR überschrieben, wodurch alle Dateien des Opfers gelöscht und das System unbrauchbar wird. Mit einem einzigen Schlag verlieren alle“, heißt es in der Empfehlung.
Berichten zufolge konnte LokiLocker so programmiert werden, dass bestimmte Länder von der Verschlüsselung und Löschung ausgeschlossen werden, aber weitere Recherchen fanden nur den Iran auf der Liste der Ausnahmen. Darüber hinaus wurde die Ausnahmeregel noch nicht einmal umgesetzt, was Experten zu der Annahme veranlasst, dass die Verweise auf iranische Bedrohungsakteure ein Ablenkungsmanöver sein könnten, um unerwünschte Aufmerksamkeit zu vermeiden.
Derzeit gibt es kein kostenloses Tool zum Entschlüsseln von Inhalten, die von LokiLocker verschlüsselt wurden.
- Coinsmart. Europas beste Bitcoin- und Krypto-Börse.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. DEN FREIEN ZUGANG.
- CryptoHawk. Altcoin-Radar. Kostenlose Testphase.
- Quelle: https://www.safetydetectives.com/news/blackberry-researchers-discover-new-ransomware-family-that-targets-windows-systems/
