Critoni-Ransomware für 3000 $ in Underground-Forum zum Verkauf, nutzt das Tor-Anonymitätsnetzwerk zur Kommunikation mit seinem C & C-Server

Eine neue Ransomware namens Critoni wird in den Underground-Foren verkauft. Das Besondere an dieser Ransomware ist, dass sie das Tor-Netzwerk nutzt, um mit dem entfernten Command-and-Control-Server zu kommunizieren. Dies anonymisiert die Kommunikation und macht sie somit unentdeckbar, da die Ransomware-Befehle durch die verschiedenen Schichten des Tor-Anonymisierungs-Setups geleitet werden, bevor sie den Command-and-Control-Server erreichen.

Für die Unwissenden: Eine Ransomware ist eine Malware, die, sobald sie Ihren Computer infiziert hat, verschiedene Arten von Dateien, Dokumenten, Videos und Bildern mit einem verschlüsselten Schlüssel verschlüsselt und dann von Ihnen Lösegeld für die Schlüssel zur Entschlüsselung Ihrer Daten verlangt.

Der Beitrag, der den Verkauf von Critoni anbietet, wurde von dem französischen Sicherheitsforscher Kafeine entdeckt, der sagt, dass die Anzeige seit Mitte Juni 2014 online ist. Er sagte, der Preis für diese Malware liege bei 3.000,00 $ / 2.220,00 € / 180.000,00 Rs.

Diese spezielle Malware wird von Cyberkriminellen CTB-Locker (Curve-Tor-Bitcoin Locker) genannt und von Microsoft Critoni.A. Critoni verwendet persistente Kryptografie, die auf elliptischen Kurven basiert, was die Dateientschlüsselung unmöglich machen würde; die Schlüssel werden zufällig generiert und es besteht kein Risiko, dass zwei Schlüssel identisch sind. Wenn infiziert, muss das Lösegeld in Bitcoins bezahlt werden, um eine Nachverfolgung der Transaktion zu verhindern. Die Ransomware bietet auch ein Tutorial darüber, wie man Bitcoins über den Markt erhält, falls er/sie keine besitzt. Tatsächlich gibt es sogar Tutorials zum Herunterladen von Tor, wenn die Opfer neu im Tor-Anonymisierungsnetzwerk sind.

Laut Kafeine erwähnte der Beitrag im Underground-Forum auch, dass der Verschlüsselungsprozess ohne Internetverbindung durchgeführt werden könnte, aber wie es in diesem Fall mit seinem C & C-Server verbinden könnte, ist eine Frage. Kafeine berichtet auch, dass Critoni gesehen wurde, wie es durch das Angler-Exploit-Kit geliefert wurde, aber auch andere Angriffsformen wurden in der Wildnis entdeckt.

Ein weiteres Merkmal von Critoni ist, dass, sobald der festgelegte Zeitraum für die Zahlung des Lösegeldes abläuft, das Programm zur Dateisperrung sich automatisch selbst löscht und den Opfern eine weitere Chance geboten wird, die Daten wiederherzustellen. Diese Anweisungen werden in einer TXT-Datei im Dokumentenordner bereitgestellt.

Laut Sicherheitsexperten von Kaspersky ist dies die erste Kryptomalware, die das Tor-Netzwerk nutzt, um ihre Kommunikation mit dem Command-and-Control-Server zu anonymisieren. Diese Art von Schutz wurde allgemein bei Banking-Trojanern wie der Zeus-Malware beobachtet.

In einem Bericht auf

Threatpost

sagte Fedor Sinitsyn von Kaspersky: „Der ausführbare Code zur Herstellung der Tor-Verbindung ist im Körper der Malware eingebettet. Früher wurde dies bei Malware dieser Art normalerweise mit einer Tor.exe-Datei erreicht. Die Einbettung von Tor-Funktionen in den Körper der Malware ist aus programmiertechnischer Sicht eine schwierigere Aufgabe, hat jedoch einige Vorteile, da sie hilft, die Erkennung zu vermeiden, und insgesamt effizienter ist.“

Die Nutzung des Tor-Netzwerks verringert das Risiko der Entdeckung und erleichtert es den Cyberkriminellen, Bitcoins durch die unglücklichen Opfer von Critoni.A zu minten.