Erpressungstrojaner für Linux will viel Geld, kann Daten nicht freigeben

10. Jänner 2017, 14:54
44 Postings

Angreifer besitzen notwendigen Schlüssel nicht – Angriffe offenbar gezielt gegen Infrastruktur in der Ukraine

Erpressungstrojaner sind für ihre Urheber ein einträgliches Geschäft: Der Aufwand zur Entwicklung einer solchen Software hält sich in Grenzen, die potentiellen Einnahmen sind aber riesig. Immerhin lassen sich – trotz aller Warnungen – viele Nutzer auf die Zahlung eines Lösegelds ein, um wieder an ihre privaten Daten zu gelangen.

Fehlerhaft

Ein Geschäftsmodell, das allerdings nur dann funktioniert, wenn die von der Schadsoftware verschlüsselten Daten auch wirklich wiederhergestellt werden können. Genau in dieser Hinsicht ist den Entwicklern der Software "KillDisk" aber nun offenbar ein spannender Fehler unterlaufen. Die Software scheitert nämlich daran, die Verschlüsselungs-Keys, wie es sonst der Fall ist, an den Command & Control-Server der Angreifer zu schicken. Damit haben diese auch gar nicht die Möglichkeit die Daten wieder freizugeben. Selbst zahlungswillige Opfer haben also keine Aussicht auf eine Freigabe ihrer Dokumente.

Linux

Aber auch sonst ist KillDisk gleich in mehrer Hinsicht ungewöhnlich, wie die Sicherheitsforscher von Eset betonen. So zielt die Software derzeit vornehmlich auf Linux-Systeme ab, die bisherigen Infektionen spielen sich primär im Finanzsektor aber auch der kritischen Infrastruktur der Ukraine ab. Daraus leiten die Forscher ab, dass es sich um recht gezielte Angriffe handeln dürfte. Erst vor wenigen Wochen sei KillDisk für Attacken gegen die ukrainische Finanzbranche genutzt worden.

grafik: eset
Die Botschaft der Erpresser.

Preisfrage

Dass es die KillDisk-Autoren nicht auf die breite Masse abgesehen haben, lässt sich auch aus einem anderen Faktum schließen: Die Lösegeldforderung beläuft sich nämlich auf satte 222 Bitcoin, das entspricht aktuell rund 190.000 Euro. Bei anderen Verschlüsselungstrojanern hat sich der Preis für die Freigabe der Daten üblicherweise auf ein Bitcoin eingependelt.

Verschlüsselung

Interessant ist zudem, dass die Autoren zur Verschlüsselung nicht auf den gebräuchlichen AES-Algorithmus setzen, sondern das veraltete Triple-DES verwenden. Nach einer erfolgreichen Infektion verankert sich KillDisk übrigens im Bootloader GRUB, wo auch die Erpressermitteilung hinterlassen wird, anschließend ist ein Booten des Systems nicht mehr möglich.

Offe Fragen

Laut Eset gibt es eine – wenn auch sehr umständliche – Methode um unter Linux auch nach einer KillDisk-Infektion an die Daten zu gelangen. Details dazu nennt man in dem Blog-Posting allerdings nicht. Offen bleibt die Frage, warum die Angreifer überhaupt zu Ransomware greifen, scheint das Ziel doch eher die gezielte Störung kritischer Infrastruktur zu sein. (apo, 10.1.2017)

    Share if you care.