Dridex-Akteure reihen sich ein in das Ransomware-Spiel – mit "Locky"

February 16, 2016

Übersicht

Proofpoint-Forscher haben eine neue Ransomware namens "Locky" entdeckt, die über MS Word-Dokumente mit bösartigen Makros verbreitet wird. Zwar tauchte seit Ende 2015 eine Vielfalt an neuer Ransomware auf; Locky fällt aber besonders auf, weil es vom gleichen Akteur stammt, der sich hinter dem überwiegenden Teil der Dridex-Kampagnen verbirgt, die wir im vergangenen Jahr verfolgt haben.

 

Spam

Locky wird über Spam mit angehängten Dokumenten in Umlauf gebracht, was bei den bisherigen Malware-Kampagnen dieses Jahres die gängigste Methode war. In dieser Kampagne liefern Nachrichten von willkürlichen Absendern mit dem Betreff "ATTN: Invoice J-12345678" einen Anhang namens "invoice_J-12345678.doc". Bei den Anhängen handelt es sich um MS Word-Dokumente mit Makros, welche die Ransomware Locky herunterladen und installieren – wie Proofpoint am 16. Februar 2016 erstmalig beobachtete.

Das Botnet (eine Gruppe infizierter Rechner, auf denen ein Spambot läuft), das den Spam verschickt, ist dasselbe Botnet, das den Großteil der Nachrichten verschickt, die den Banking-Trojaner Dridex im Schlepp haben. In der Vergangenheit lieferte dieses Botnet die Dridex-Botnet-IDs 120, 122, 123, 220, 223, 301 (um nur einige zu nennen) sowie weitere Nicht-Dridex-Malware wie Ursnif (z. B. am 05.01.2016), Nymaim (15.12.2015), TeslaCrypt (14.12.2015) und Shifu (07.10.2015).

Abbildung 1: E-Mail-Köder, verknüpft mit Locky

Für die Verteilung bedienen sich die Akteure hinter Locky offensichtlich einer Warteschlange aus dem Dridex-Playbook. Wenn schon Dridex neue Maßstäbe für die Größen seiner Kampagnen gesetzt hat, können wir nun bei Locky noch größere Dimensionen feststellen, die sich mit den größten bislang ermittelten Dridex-Kampagnen messen können.

Zufälligerweise haben wir auch am gleichen Tag, an dem wir die groß angelegte Spam-Kampagne verfolgten, beobachten können, wie Locky in einem Neutrino-Thread verschickt wurde, über den normalerweise Necurs verbreitet wird. Wenn sie über die gleiche virtuelle Maschine ausgeführt werden, erzeugen die Dokumente aus dem Neutrino-Drop und den Spam-E-Mails die gleiche Einzel-ID, verweisen auf die gleiche Bitcoin-Wallet und verwenden anscheinend die gleiche Infrastruktur. Dies lässt entweder auf einen gemeinsamen Akteur oder, was wahrscheinlicher ist, auf eine Verteilung nach dem Muster von Tochtergesellschaften schließen.

Abbildung 2: Locky, abgelegt durch das Neutrino EK

Öffnet ein Benutzer das angehängte Dokument, so wird sein Rechner nur dann infiziert, wenn Makros aktiviert sind.

Abbildung 3: Anhang und Makro-Aktivierung

 

Ransomware "Locky"

Die Ransomware verschlüsselt Dateien anhand ihrer Erweiterung und verwendet Notepad für die Anzeige der Erpressungsnachricht (Abbildung 5). Außerdem ersetzt sie den Desktop-Hintergrund durch die Erpressungsnachricht (Abbildung 4). Wenn der Benutzer die in der Erpressungsnachricht genannten Links mit dem String .onion (oder tor2web) besucht, erhält er die Anweisung, Bitcoins zu kaufen, diese an eine bestimmte Bitcoin-Adresse zu senden und dann die Seite zu aktualisieren, um schließlich auf den Download des Entschlüsslers zu warten. Es ist uns bislang nicht bekannt, ob der Entschlüssler tatsächlich geliefert wird, wenn der Benutzer bezahlt.

Abbildung 4: Desktop-Hintergrund nach dem Installieren von Locky

Abbildung 5: Anzeige der Erpressungsnachricht in Notepad

Abbildung 6: Entschlüsselungs-Website

Locky verschlüsselt die meisten brauchbaren Dateiformate auf den lokalen Festplatten des Benutzers; einigen Berichten zufolge verschlüsselt Locky auch Dateien auf gemeinsam verwendeten Laufwerken, die diesen zugeordnet sind. Hier eine Liste der betroffenen Dateiformate:

.m4u | .m3u | .mid | .wma | .flv | .3g2 | .mkv | .3gp | .mp4 | .mov | .avi | .asf | .mpeg | .vob | .mpg | .wmv | .fla | .swf | .wav | .mp3 | .qcow2 | .vdi | .vmdk | .vmx | .gpg | .aes | .ARC | .PAQ | .tar.bz2 | .tbk | .bak | .tar | .tgz | .gz | .7z | .rar | .zip | .djv | .djvu | .svg | .bmp | .png | .gif | .raw | .cgm | .jpeg | .jpg | .tif | .tiff | .NEF | .psd | .cmd | .bat | .sh | .class | .jar | .java | .rb | .asp | .cs | .brd | .sch | .dch | .dip | .pl | .vbs | .vb | .js | .asm | .pas | .cpp | .php | .ldf | .mdf | .ibd | .MYI | .MYD | .frm | .odb | .dbf | .db | .mdb | .sql | .SQLITEDB | .SQLITE3 | .asc | .lay6 | .lay | .ms11 (Security copy) | .ms11 | .sldm | .sldx | .ppsm | .ppsx | .ppam | .docb | .mml | .sxm | .otg | .odg | .uop | .potx | .potm | .pptx | .pptm | .std | .sxd | .pot | .pps | .sti | .sxi | .otp | .odp | .wb2 | .123 | .wks | .wk1 | .xltx | .xltm | .xlsx | .xlsm | .xlsb | .slk | .xlw | .xlt | .xlm | .xlc | .dif | .stc | .sxc | .ots | .ods | .hwp | .602 | .dotm | .dotx | .docm | .docx | .DOT | .3dm | .max | .3ds | .xml | .txt | .CSV | .uot | .RTF | .pdf | .XLS | .PPT | .stw | .sxw | .ott | .odt | .DOC | .pem | .p12 | .csr | .crt | .key

Offenbar erzeugt Locky auch DGA-Datenverkehr für seine Befehls- und Steuerungslogik. Die Domains der nachstehenden Liste waren zum Zeitpunkt der Untersuchung nicht registriert:

vkrdbsrqpi[.]de                               
jaomjlyvwxgdt[.]fr                         
wpogw[.]it                         
ofhhoowfmnuihyd[.]ru

Wir haben unterschiedliche Dateisystem-IOCs erkannt (Dateien, Persistenz-Registrierungsschlüssel usw.):

Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Locky
Registry: HKCU\Software\Locky\id
Registry: HKCU\Software\Locky\pubkey
Registry: HKCU\Software\Locky\paytext
File: C:\Users\(username)\AppData\Local\Temp\ladybi.exe
File: C:\Users\(username)\Documents\_Locky_recover_instructions.txt
Command: vssadmin.exe Delete Shadows /All /Quiet
Command: "C:\Windows\system32\NOTEPAD.EXE" C:\Users\Admin\Desktop\_Locky_recover_instructions.txt

Da die Schutzmaßnahmen sowohl am Endpunkt als auch im Netzwerk zunehmend geholfen haben, die Ransomware in den Griff zu bekommen, die in den vergangenen Jahren für Schlagzeilen gesorgt hat (CryptoLocker, CryptoWall usw.), ist mit neuen Varianten und weiteren Strapazen zu rechnen. Verschaffen Sie sich im Laufe dieser Woche einen umfassenden Überblick über die verschiedenen neuen Ransomware-Ableger, die im Netz ihr Unwesen treiben.

 

IOCs

Sample hashes
e95cde1e6fa2ce300bf778f3e9f17dfc6a3e499cb0081070ef5d3d15507f367b (Neutrino EK)
5466fb6309bfe0bbbb109af3ccfa0c67305c3464b0fdffcec6eda7fcb774757e (attachment)

Filesystem IOCs (files, registry keys used for persistence, etc):
Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Locky
Registry: HKCU\Software\Locky\id
Registry: HKCU\Software\Locky\pubkey
Registry: HKCU\Software\Locky\paytext
File: C:\Users\(username)\AppData\Local\Temp\ladybi.exe
File: C:\Users\(username)\Documents\_Locky_recover_instructions.txt
Command: vssadmin.exe Delete Shadows /All /Quiet
Command: "C:\Windows\system32\NOTEPAD.EXE" C:\Users\Admin\Desktop\_Locky_recover_instructions.txt

Payloads downloaded by macro:
[hxxp://www.iglobali[.]com/34gf5y/r34f3345g.exe]
[hxxp://www.southlife[.]church/34gf5y/r34f3345g.exe]
[hxxp://www.villaggio.airwave[.]at/34gf5y/r34f3345g.exe]
[hxxp://www.jesusdenazaret[.]com.ve/34gf5y/r34f3345g.exe]
[hxxp://66.133.129[.]5/~chuckgilbert/09u8h76f/65fg67n]
[hxxp://173.214.183[.]81/~tomorrowhope/09u8h76f/65fg67n]
[hxxp://iynus[.]net/~test/09u8h76f/65fg67n]

Locky C2:
[hxxp://109.234.38[.]35/main.php]
[hxxp://lneqqkvxxogomu[.]eu/main.php]
[hxxp://qpdar[.]pw/main.php]
[hxxp://ydbayd[.]de/main.php]
[hxxp://ssojravpf[.]be/main.php]
[hxxp://gioaqjklhoxf[.]eu/main.php]
[hxxp://txlmnqnunppnpuq[.]ru/main.php]

Payment URIs (Locky asks user to click these links):
[hxxp://6dtxgqam4crv6rr6.tor2web[.]org]
[hxxp://6dtxgqam4crv6rr6.onion[.]to]
[hxxp://6dtxgqam4crv6rr6.onion[.]cab]
[hxxp://6dtxgqam4crv6rr6.onion[.]link]
[hxxps://6dtxgqam4crv6rr6[.]onion]