Neue Ransomware

LokiLocker löscht Daten nach 30 Tagen

Sicherheitsforscher warnen vor einer neuen Ransomware-Variante namens LokiLocker. Die Malware verschleiert ihren Code und löscht Dateien.
Von 
CSO | 17. März 2022 17:21 Uhr
Die Ransomware LokiLocker setzt auf zerstörerische Wiper-Komponenten.
Die Ransomware LokiLocker setzt auf zerstörerische Wiper-Komponenten.
Foto: Erik Svoboda - shutterstock.com

Laut einem Forscher des BlackBerry Research & Intelligence Teams setzen Cyberkriminelle immer häufiger auf LokiLocker für Ransomware-Angriffe. Die Angreifer würden vor allem auf englischsprachige Opfer und Windows-PCs zielen, heißt es. Die Malware sei erstmals Mitte August 2021 in freier Wildbahn aufgetaucht. Das Schadprogramm sei nicht zu verwechseln mit einer älteren Ransomware-Familie namens Locky, die 2016 bekannt wurde, oder LokiBot, einem Infostealer, so der Experte. "Sie weist zwar einige Ähnlichkeiten mit der LockBit-Ransomware auf (Registrierungswerte, Dateiname der Lösegeldforderung), scheint aber nicht deren direkter Nachfahre zu sein."

Bisher sei das LokiLocker Ransomware-as-a-Service (RaaS)-Angebot mit etwa 30 sorgfältig überprüften Partnern geteilt worden, schätzen die BlackBerry-Forscher. Sie gehen von Einzelpersonen oder Gruppen von Cyberkriminellen aus, die die eigentliche Ransomware-Bereitstellung für einen Teil des Lösegelds übernehmen.

Technische Funktionen von LokiLocker

LokiLocker ist in der Programmiersprache .NET geschrieben, aber sein Code ist mit einer modifizierten Version von ConfuserEX in Kombination mit KoiVM verschleiert. Dies sind zwei Open-Source-Code-Schutzprogramme für .NET-Anwendungen. Ziel von Programmen wie ConfuserEX und KoiVM ist es, das Reverse Engineering zu erschweren, um den proprietären Quellcode kommerzieller Anwendungen zu schützen. Malware-Entwickler können solche Programme jedoch nutzen, um zu verhindern, dass Sicherheitsprogramme und Forscher sie entdecken.

"Die Verwendung von KoiVM durch LokiLocker als Virtualisierungsschutz für .NET-Anwendungen ist eine ungewöhnliche Methode, um die Analyse zu erschweren", so die Forscher. "Wir haben noch nicht viele andere Bedrohungsakteure gesehen, die diese Methode verwenden, also könnte dies der Beginn eines neuen Trends sein."

Wenn LokiLocker zum ersten Mal auf einem Computer ausgeführt wird, kopiert er sich als %ProgramData%/winlogon.exe und setzt sich dann mithilfe eines geplanten Tasks und eines Registrierungseintrags für den Start im infizierten System fest (Persistenz). Die Malware verfügt über eine Konfigurationsdatei, die von den Partnern angepasst werden kann und mit der die Malware angewiesen werden kann, folgendes zu tun:

  • Anzeige eines gefälschten Windows-Update-Bildschirms;

  • Bestimmte Prozesse beenden und bestimmte Systemdienste anhalten;

  • Deaktivieren des Windows Task-Managers;

  • Löschen von Systemsicherungen und Schattenkopien;

  • Deaktivieren der Windows-Fehlerbehebung und der Windows-Firewall;

  • Entfernen von Systemwiederherstellungspunkten;

  • Leeren des Papierkorbs;

  • Deaktivieren des Windows Defender;

  • Ändern der Meldung, die auf dem Anmeldebildschirm des Benutzers angezeigt wird.

Das Schadprogramm sammelt dann Informationen über das infizierte System und sendet sie an eine hartkodierte Command-and-Control-Server-URL. Der Server sendet daraufhin einen öffentlichen RSA-Key zurück. Dieser wird verwendet, um die von der Ransomware für jedes einzelne Opfer generierten Private-Public-Keys zu verschlüsseln. Der RSA-Key des Opfers wird dann zur Verschlüsselung des zufällig generierten AES-File-Encryption Key verwendet. Falls die Kommunikation mit dem Server nicht möglich ist, enthält die Ransomware-Binärdatei fünf hartkodierte öffentliche RSA-Keys, die verwendet werden können. Nur die Angreifer verfügen über den Key zur Entschlüsselung.

"Derzeit gibt es kein kostenloses Tool zur Decodierung von Dateien, die von LokiLocker verschlüsselt wurden", so die BlackBerry-Forscher. "Wenn Sie bereits mit der LokiLocker-Ransomware infiziert sind, empfehlen die meisten offiziellen Sicherheitsbehörden wie das FBI, das Lösegeld nicht zu zahlen.

LokiLocker beginnt mit der Verschlüsselung von Dateien in den folgenden Verzeichnissen: Favoriten, Zuletzt verwendet, Desktop, Persönlich, MyPictures, MyVideos und MyMusic. Anschließend verschlüsselt er Dateien auf allen lokalen Laufwerken, was jedoch von der Konfiguration des Herstellers abhängt. Es gibt Optionen, um nur das Laufwerk C zu verschlüsseln oder das Laufwerk C zu überspringen. Die Malware verfügt auch über eine Netzwerk-Scanfunktion, mit der Netzwerkfreigaben erkannt und verschlüsselt werden können, aber auch diese Funktion ist konfigurierbar.

Schließlich enthält LokiLocker ein Wiper-Modul, das versucht, Dateien von allen lokalen Laufwerken zu löschen und dann den Master Boot Record (MBR) der Festplatte zu überschreiben, wodurch das System nicht mehr in der Lage ist, das Betriebssystem zu starten. Stattdessen wird dem Benutzer eine Meldung angezeigt, die wie folgt lautet: "Sie haben uns nicht bezahlt, also haben wir alle Ihre Dateien gelöscht". Die Wiper-Funktion wird automatisch nach einem Timer ausgelöst, der auf 30 Tage eingestellt, aber konfigurierbar ist.

Im Laufe der Jahre gab es immer wieder Vorfälle mit Malware, die Dateien löscht - so auch kürzlich in der Ukraine. Einige dieser bösartigen Programme haben sich zur Ablenkung als Ransomware getarnt. Es ist jedoch nicht üblich, dass tatsächliche Ransomware mit einer solchen Funktion gebündelt wird. Der Nutzen dieses auf einem Timer basierenden Rachemechanismus ist fraglich, da das Opfer weiß, dass es von Ransomware betroffen ist. Der erste Schritt bei der Reaktion auf einen Ransomware-Vorfall darin besteht, die Bedrohung zu neutralisieren und dann zu entscheiden, ob über die Entschlüsselung der Dateien verhandelt werden soll.

Ursprünge von LokiLocker

Es ist nicht klar, wer LokiLocker entwickelt hat, aber die BlackBerry-Forscher stellten fest, dass die in der Malware gefundenen Debugging-Strings in englischer Sprache verfasst sind. Sie hatten keine größeren Rechtschreibfehler, wie sie manchmal bei russischen oder chinesischen Malware-Entwicklern üblich sind. Stattdessen gibt es einige potenzielle Verbindungen zum Iran, die aber auch nur eingebaut sein könnten, um Malware-Forscher abzulenken.

Die Malware enthält die Zeichenfolge "Iran" in einer Routine, die möglicherweise dazu dient, Länder zu definieren, die von der Dateiverschlüsselung ausgenommen werden sollen. Das ist ein üblicher Ansatz für einige Ransomware-Entwickler. Allerdings scheint diese Funktion noch nicht implementiert zu sein.

Zum Teil wurde LokiLocker als Tojaner-Version von Brute-Force-Tools verbreitet, die Anmeldedaten knacken sollen. Dazu zählen etwa PayPal BruteChecker, Spotify BruteChecker, PiaVPN Brute Checker und FPSN Checker. Einige dieser Tools - nicht ihre trojanisierten Versionen - wurden von einem iranischen Cracker-Team namens AccountCrack entwickelt. Darüber hinaus haben mindestens drei LokiLocker-Mitglieder Benutzernamen, die auch in iranischen Hacking-Foren zu finden sind.

"Es ist nicht ganz klar, ob dies bedeutet, dass sie wirklich aus dem Iran stammen oder dass die wirklichen Bedrohungsakteure versuchen, die Schuld auf iranische Angreifer zu schieben", so die BlackBerry-Forscher. "Bei Trickbetrügern und Bedrohungsakteuren kann es schwierig sein, den Unterschied zwischen einem sinnvollen Hinweis und einer falschen Flagge zu erkennen - und man kann sich nie sicher sein, wie weit die Täuschung in die Tiefe geht." (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Lesetipp: Blockchain-Forensik - So erhalten Ransomware-Oper ihr Geld zurück

Lucian Constantin arbeitet als Korrespondent für den IDG News Service.