Ransomware-Familie „LokiLocker“ nimmt Windows-Systeme ins Visier
23. März 2022Eine neue Art von Ransomware-as-a-Service (RaaS) namens LokiLocker treibt ihr Unwesen. Die Malware nutzt eine seltene Code-Verschleierung und enthält eine Datei-Wiper-Komponente, die Angreifer einsetzen können, wenn ihre Opfer nicht zahlen.
„Sie ist nicht zu verwechseln mit einer älteren Ransomware-Familie namens Locky, die 2016 berüchtigt wurde oder LokiBot, einem Infostealer. Die Bedrohung wurde erstmals Mitte August 2021 entdeckt“, so die Forscher von Blackberry in ihrem neuen Bericht. Sie schätzen, dass LokiLocker derzeit rund 30 Affiliates hat.
Wenn LokiLocker zum ersten Mal auf einem Computer ausgeführt wird, kopiert er sich als „%ProgramData%/winlogon.exe“ und richtet dann mithilfe einer geplanten Aufgabe und eines Startregistrierungseintrags eine Persistenz ein. Die Malware verfügt über eine Konfigurationsdatei, die es Affiliates ermöglicht, sie nach anzupassen und mit der die Malware angewiesen werden kann, folgende Aktionen durchzuführen:
- Anzeigen eines gefälschten Windows-Update-Bildschirms,
- Beenden von bestimmten Prozessen und Anhalten bestimmter Systemdienste,
- Deaktivieren des Windows Task-Managers,
- Löschen von Systemsicherungen und Schattenvolumenkopien,
- Deaktivieren der Windows-Fehlerbehebung und der Windows-Firewall,
- Entfernen von Systemwiederherstellungspunkten,
- Leeren des Papierkorbs,
- Deaktivieren des Windows Defender sowie
- Ändern der Meldung, die auf dem Anmeldebildschirm des Benutzers angezeigt wird.
Angriffsmethoden der Malware
LokiLocker verfügt über eine Netzwerk-Scanfunktion, mit der Netzwerkfreigaben erkannt und verschlüsselt werden können. Zudem ist ein Wiper-Modul enthalten, das versucht, Dateien von allen lokalen Laufwerken zu löschen und dann den Master Boot Record (MBR) der Festplatte zu überschreiben, wodurch das System nicht mehr in der Lage ist, das Betriebssystem zu starten.
Stattdessen wird dem Benutzer eine Meldung angezeigt, die wie folgt lautet: „Sie haben uns nicht bezahlt, also haben wir alle Ihre Dateien gelöscht“. Die Wiper-Funktion wird automatisch nach einem Timer ausgelöst, der auf 30 Tage eingestellt ist, aber ebenso konfigurierbar ist.
Es ist nicht klar, wer die Autoren von LokiLocker sind, aber die Sicherheitsforscher stellten fest, dass die in der Malware gefundenen Debugging-Strings in englischer Sprache verfasst sind, ohne größere Rechtschreibfehler, wie sie manchmal bei russischen oder chinesischen Malware-Entwicklern üblich sind. Stattdessen gibt es einige potenzielle Verbindungen zum Iran, aber diese könnten eingebaut worden, um Malware-Forscher in die Irre zu führen.
Starkes Sicherheitsbewusstsein als Schlüssel zur Verteidigung
Die Bedrohungsakteure agieren immer raffinierter und entwickeln ständig neue Methoden, um der Erkennung ihrer Malware zu entgehen. Die Frage, ob das Netzwerk eines Unternehmens in der Lage ist, alle Angriffe abzuwehren, ist deshalb von großer Bedeutung. Knowbe4 bietet in diesem Zusammenhang ein hilfreiches Tool namens „RanSim“ an. Es ermöglicht einen schnellen Einblick in die Effektivität der bestehenden Sicherheitsvorkehrungen. Dieses Programm simuliert 22 Ransomware-Infektionsszenarien und zudem auch ein Kryptomining-Infektionsszenario und kann den Sicherheitsteams somit aufzeigen, ob ein Netzwerk anfällig ist, oder nicht.
Zudem kann die Anzahl erfolgreicher Phishing-Angriffe, welche oft als Einfalltor für Malware-Angriffe dienen, durch eine Schulung des Sicherheitsbewusstseins sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als menschliche Firewall geschult und eingesetzt werden. (rhh)