Crypto-Ransomware mit Breaking-Bad-Theme kursiert derzeit in Australien

Rainer Schneider,
CyberkriminalitätSicherheit
Hacker-Angriff (Bild Shutterstock)

Symantec hat eine neue Crypto-Ransomware gefunden, die aktuell primär Computer in Australien kompromittiert. Die Erpressersoftware verschlüsselt Bilder, Videos, Dokumente sowie Office-Dateien und verlangt bis zu 1000 Australische Dollar (708 Euro) für deren Freigabe. Bei der Auswertung der Trojan.Cryptolocker.S genannten Malware entdeckte Symantec überdies viele Bezüge zu der auch in Deutschland populären Fernsehserie Breaking Bad.

symantec-ransomware-breaking-bad (Screenshot: Symantec)
Die Lösegeldforderung der Erpresser zeigt unter anderem das aus der Serie Breaking Bad stammende Logo des Schnellrestaurants Los Pollos Hermandos (Screenshot: Symantec).

Die Urheber der Schadsoftware haben unter anderem ein Zitat der Hauptfigur Walter White für die E-Mail-Adresse verwendet, an die sich Betroffene wegen der Zahlung des Lösegelds richten sollen. Darüber hinaus nutzen sie das Logo eines ebenfalls in der Serie vorkommenden Schnellrestaurants.

Nach Angaben von Symantec erfolgt die Verteilung der Crypto-Ransomware über ein Zip-Archiv, das wiederum den Namen einer bekannten Kurierfirma trägt. Das Archiv beinhaltet eine Datei namens “Penalty.vbs”, die bei ihrer Ausführung die eigentliche Erpressersoftware herunterlädt und auf den Rechner spielt. Weiterhin wird eine legitime PDF-Datei geöffnet, um die gefährlichen Aktionen im Hintergrund zu verbergen.

“Basierend auf unserer Analyse scheint die Bedrohung Komponenten oder ähnliche Techniken wie ein Open-Source-Penetration-Testing-Projekt zu verwenden, das Microsoft-PowerShell-Module nutzt”, heißt es in einem Blogbeitrag von Symantec. “Das erlaubt es den Angreifern, eigene PowerShell-Skripte auf einem kompromittierten Computer auszuführen und die Crypto-Ransomware zu steuern.”

Die Verschlüsselung der Dateien erfolgt mithilfe eines zufälligen AES-Schlüssels. Der wird wiederum mit einem öffentlichen RSA-Schlüssel chiffriert. Symantec zufolge benötigen Betroffene den privaten Schlüssel der Angreifer, um wieder Zugriff auf die verschlüsselten Dateien zu erhalten. Die Zahlung des Lösegelds soll mit Bitcoins erfolgen. Die Lösegeldforderung umfasst sogar ein Video, das Anwendern zeigt, wie sie sich Bitcoins besorgen können.

Dem Sicherheitsspezialisten Graham Cluley zufolge ist es nicht ungewöhnlich, das Cyberkriminelle im Code ihrer Malware Spuren hinterlassen. Die Analyse von Symantec lasse bislang jedoch nur den Schluss zu, dass die Hintermänner Fans der Serie Breaking Bad und ihrer Hauptfigur Walter White seien. Letztere entwickelt sich im Laufe der Serie von einem einfachen Chemielehrer zu einem Drogenboss. Konkrete Beweise für die Identität eines Hackers wie ein Lebenslauf, den der philippinische Makro-Virus-Autor Michael Buen auf dem Rechner eines Opfers hinterlegt habe, seien dagegen sehr selten.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch :

Studie: Nutzer von iMacs und MacBooks müssen sich auf veränderte Bedrohungslage einstellen

Eco: Avalanche-Botnet macht Online-Banking weiterhin unsicher

Wikileaks: Tech-Firmen warten auf Informationen von Assange
Rainer Schneider
Autor: Rainer Schneider
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen