Nein! Neue Ransomware „Bart“ von den Bedrohungsakteuren, die Dridex und Locky verbreiten

June 30, 2016

Überblick

Die Akteure hinter Dridex 220 und Locky Affid=3 haben eine neue Ransomware namens „Bart“ eingeführt. Sie verwenden die Malware RockLoader, um Bart über HTTPS herunterzuladen. Bart verwendet einen Bezahlbildschirm wie Locky, verschlüsselt jedoch Dateien, ohne sich zuvor mit einem Command-and-Control-Server zu verbinden.

Analyse

Am 24. Juni entdeckten Forscher von Proofpoint eine große Locky-Kampagne mit Zip-Anhängen, die JavaScript-Code enthielten. Wenn sie geöffnet werden, laden diese Anhänge den intermediären Loader RockLoader (kürzlich von Proofpoint entdeckt und mit Locky verwendet) herunter und installieren ihn. Dieser wiederum lädt die neue Ransomware namens „Bart“ herunter. Die Nachrichten dieser Kampagne hatten die Betreffzeilen „Photos“ und einen Anhang namens „photos.zip“, „image.zip“, „Photos.zip“, „photo.zip“, „Photo.zip“ oder „picture.zip“. Diese Zip-Dateien enthielten eine JavaScript-Datei wie zum Beispiel „PDF_123456789.js“.


Abbildung 1: E-Mail, die die gezippte JavaScript-Datei ausliefert, mit der die Ransomware Bart verteilt wird

Um das Opfer darüber in Kenntnis zu setzen, dass es infiziert wurde und dass seine Dateien verschlüsselt sind, erzeugt diese Ransomware zwei Arten von Dateien, wie viele andere Arten von Ransomware dies auch tun. Insbesondere legt sie eine Datei namens „recover.txt“ in vielen Ordnern ab und tauscht das Desktop-Hintergrundbild gegen „recover.bmp“ aus (siehe Abbildung 2).


Abbildung 2: Das Desktop-Hintergrundbild wird gegen die Datei „recover.bmp“ ausgetauscht


Abbildung 3: Das Dateisystem des Computers wird mit „recover.txt“-Dateien übersät

Vor dem Schreiben der „recover“-Dateien bestimmt die Malware die Systemsprache des Benutzers. Sie hat Übersetzungen in Italienisch, Französisch, Deutsch und Spanisch zur Verfügung. Die Malware nutzt die Systemsprache auch, um zu verhindern, dass russische, ukrainische und weißrussische Benutzer infiziert werden. Diese erste Kampagne scheint im Wesentlichen auf US-Interessen zu zielen, doch erwarten wir angesichts der weltweiten Zielausrichtung von Locky und Dridex sowie aufgrund der Übersetzungen für die „recovery“-Dateien nicht, dass Bart in dieser Weise geografisch beschränkt bleibt.


Abbildung 4: Bart wird nicht ausgeführt, wenn die Systemsprache des Benutzers Russisch, Ukrainisch oder Weißrussisch ist, und prüft einige andere Sprachen, wahrscheinlich um die Sprache zu bestimmen, in der die Lösegeldforderung verfasst sein soll.

Nach der Verschlüsselung wird an die Namen der verschlüsselten Dateien die Erweiterung „.bart.zip“ angehängt. Für eine oberflächliche Prüfung sind diese Dateien verschlüsselte Zip-Archive. Die Liste der Dateierweiterungen, die Bart verschlüsselt, umfasst:

.123 | .3dm | .3ds | .3g2 | .3gp | .602 | .aes | .ARC | .asc | .asf | .asm | .asp | .avi | .bak | .bat | .bmp | .brd | .cgm | .cmd | .cpp | .crt | .csr | .CSV | .dbf | .dch | .dif | .dip | .djv | .djvu | .DOC | .docb | .docm | .docx | .DOT | .dotm | .dotx | .fla | .flv | .frm | .gif | .gpg | .hwp | .ibd | .jar | .java | .jpeg | .jpg | .key | .lay | .lay6 | .ldf | .m3u | .m4u | .max | .mdb | .mdf | .mid | .mkv | .mov | .mp3 | .mp4 | .mpeg | .mpg | .ms11 | .MYD | .MYI | .NEF | .odb | .odg | .odp | .ods | .odt | .otg | .otp | .ots | .ott | .p12 | .PAQ | .pas | .pdf | .pem | .php | .png | .pot | .potm | .potx | .ppam | .pps | .ppsm | .ppsx | .PPT | .pptm | .pptx | .psd | .rar | .raw | .RTF | .sch | .sldm | .sldx | .slk | .stc | .std | .sti | .stw | .svg | .swf | .sxc | .sxd | .sxi | .sxm | .sxw | .tar | .tbk | .tgz | .tif | .tiff | .txt | .uop | .uot | .vbs | .vdi | .vmdk | .vmx | .vob | .wav | .wb2 | .wk1 | .wks | .wma | .wmv | .xlc | .xlm | .XLS | .xlsb | .xlsm | .xlsx | .xlt | .xltm | .xltx | .xlw | .zip

In der Lösegeldforderung wird der Benutzer aufgefordert, ein Bezahlportal zu besuchen und dort 3 Bitcoins (beim derzeitigen Wechselkurs etwas weniger als 1.800 Euro) zu bezahlen. Das Bezahlportal ähnelt demjenigen, das von Locky verwendet wurde (siehe Abbildung 5 und 6 unten). Optisch ist nur die Überschrift „Decryptor Bart“ neu, wo zuvor die Überschrift „Locky Decryptor“ stand. Während die Bezahlportale für Locky und Bart optisch identisch sind, unterscheidet sich der Ransomware-Code erheblich von Locky.

bart-5.png
Abbildung 5: Bezahlportal der Ransomware Bart

bart-6.png
Abbildung 6: Bezahlportal der Ransomware Locky

Derzeit untersuchen wir noch die restlichen technischen Einzelheiten dazu, wie Bart funktioniert. Die Ransomware scheint keine Verfahren zur Kommunikation mit einem Command-and-Control-Server über das Netzwerk einzusetzen. Stattdessen werden die notwendigen Informationen über den infizierten Computer wahrscheinlich im „id“-Parameter der URL an den Bezahlserver übergeben. Die Malware verwendet die Open-Source-Software WProtect zur Code-Virtualisierung.

Zusammengefasst sind es unter anderem die folgenden Merkmale, die die Ransomware Bart mit den Akteuren, die Dridex 220 und Locky Affid=3 verbreiten, in Verbindung bringen:

  • Das gleiche Verfahren der Verbreitung per E-Mail (E-Mail-Betreffzeile, E-Mail-Textkörper, gezippte JavaScript-Anhänge, die RockLoader herunterladen, der dann den eigentlichen Schadcode herunterlädt)
  • Stil der Lösegeldforderung ähnlich wie bei Locky
  • Der Stil des Bezahlportals ist der gleiche wie bei dem von Locky verwendeten Portal.
  • Der RockLoader-Server, der den Bart-Schadcode hostet, hat auch Locky Affid=3 (MD5: 3d2607a7b5519f7aee8ebd56f2a65021) und Dridex 220 (MD5: ed4191e07f49bbe60f3c00a0b74ec571) gehostet.
  • Einiger Code von Locky und Bart ist gleich oder ähnlich, beispielsweise bei dem Code, der das Desktop-Hintergrundbild des Benutzers festlegt

Schlussbemerkung

Wir untersuchen zwar noch die technischen Einzelheiten dieser neuen Ransomware, doch gibt es signifikante Verbindungen zwischen Bart bzw. Dridex und Locky. Da Bart vor dem Verschlüsseln von Dateien keine Kommunikation mit einer Command-and-Control-Infrastruktur benötigt, ist die Ransomware möglicherweise in der Lage, PCs hinter Unternehmensfirewalls zu verschlüsseln, die derartigen Datenverkehr sonst sperren würden. Organisationen müssen daher sicherstellen, dass Bart mittels Regeln, die gezippte ausführbare Dateien sperren, am E-Mail-Gateway gesperrt wird. Wir werden Bart weiter beobachten und analysieren, wenn weitere Kampagnen und Einzelheiten in Erscheinung treten.

bart-7.png

IOC

IOC Type

Description

247e2c07e57030607de901a461719ae2bb2ac27a90623ea5fd69f7f036c4ea0d

SHA256

Photos.zip email attachment

7bb1e8e039d222a51a71599af75b56151a878cf8bbe1f9d3ad5be18200b2286b

SHA256

FILE 21076073.js file inside Photos.zip

[hxxp://camera-test.hi2[.]ro/89ug6b7ui?voQeTqDw=RUYEzU]

URL

JavaScript Payload (RockLoader)

5d3e7c31f786bbdc149df632253fd538fb21cfc0aa364d0f03a79671bbaec62d

SHA256

RockLoader

[hxxps://summerr554fox[.]su/api/]

URL

Rockloader C&C

[hxxps://summerr554fox[.]su/files/6kuTU1.exe]

URL

RockLoader Payload

51ff4a033018d9343049305061dcde77cb5f26f5ec48d1be42669f368b1f5705

SHA256

6kuTU1.exe (Bart ransomware)