Die kalifornische IT-Security-Spezialistin Palo Alto Networks wartet mit neuen Erkenntnissen zu den aktuellen Ransomware-Angriffen, die unter dem Namen Lockergoga verfolgt werden, auf. Angreifer nehmen dabei gezielt Industrieunternehmen in Europa ins Visier und verursachen grossen Schaden. Die Ransomware wurde erstmals im Januar von Bleeping Computer gemeldet, in Verbindung mit einem Angriff auf das französische Engineering-Unternehmen Altran Technologies. Inzwischen wurden mehrere Varianten in freier Wildbahn gefunden, die kürzlich bei Angriffen gegen den norwegischen Aluminiumhersteller Norsk Hydro und die zwei Chemieunternehmen Hexicon und Momentive eingesetzt wurden.
Palo Alto Networks fand jetzt Beweise, die die Herkunft des Bedrohungsnamens in Frage stellen. "Lockergoga" wurde gemäss den Angaben der Kalifornier aus einer Zeichenkette entnommen, die nirgendwo im Code des ursprünglichen Angriffs auf Altran existierte. Den Forschern gelang es zwar, diese Zeichenkette in früheren Ransomware-Varianten zu finden, die von Symantec als "Ransom.GoGalocker" identifiziert wurden, aber nicht in dem Sample, das im Bericht von Bleeping Computer beschrieben wurde. Um Verwirrung zu vermeiden, wolle Palo Alto Networks aber weiterhin den Namen Lockergoga verwenden und verweist damit auf die erste Variante und ihre Vorgänger. Die Forscher von Palo Alto Networks haben den Infos zufolge mittlerweile bereits 31 Ransomware-Samples identifiziert, die in Verhalten und Code der ersten Variante ähnlich sind.
Derzeit unterstütze Lockergoga keine wurmartigen Funktionen, die es der Malware ermöglichten, sich selbst zu verbreiten, indem sie zusätzliche Hosts in einem Zielnetzwerk infiziert, so Palo Alto Networks. Die Experten hätten beobachtet, wie Lockergoga sich in einem Netzwerk über das Server Message Block (SMB)-Protokoll bewegt, was zeige, dass die Akteure Dateien einfach manuell von Computer zu Computer kopieren.
Das näher untersuchte Sample der aktuellen Angriffe benötigt demnach Administratorrechte, um erfolgreich ausgeführt zu werden, wobei der spezifische Mechanismus für die initiale Codeausführung unbekannt sei. Sobald es ausgeführt sei, versuche es, Dateien auf dem infizierten Computer und allen angeschlossenen Festplatten zu verschlüsseln. Anschliessend hinterlasse es eine Lösegeldnotiz auf dem Desktop des Benutzers, die eine E-Mail-Adresse enthalte, an die er sich offensichtlich wenden könne, um Entschlüsselungs- und Zahlungsmodalitäten in Erfahrung zu bringen.
Das erste Sample von Lockergoga wurde in der Programmiersprache C++ geschrieben. Die Akteure griffen auf öffentlich zugängliche Bibliotheken wie Boost, Cryptopp und Regex zurück. Zum jetzigen Zeitpunkt sei klar, dass die Entwickler zuletzt weiterhin Funktionen hinzugefügt hätten und die Akteure neue Angriffe starteten, so Palo Alto. Das Hinzufügen von WS2_32.dll und die Verwendung von nicht-dokumentierten Windows-API-Aufrufen deute auf ein Niveau an, das über das hinausgehe, was typische Ransomware-Autoren zu bieten hätten. Ersteres könne zu einer eventuellen Einbeziehung der C2-Kommunikation oder automatisierten Verbreitung führen, und letzteres erfordere detailliertere Grundkenntnisse zum Innenleben von Windows.
Derzeit ist laut Palo Alto nicht bekannt, ob eines der Opferunternehmen das Lösegeld bezahlt hat und seine Daten erfolgreich entschlüsseln konnte. Bekannt sei jedoch, dass diese Ransomware bereits erhebliche Schäden verursacht habe. Und der Schaden könne deutlich zunehmen, wenn die Angreifer ihre Ransomware weiter verfeinerten.
Palo Alto Networks hat seine Ergebnisse, einschliesslich Dateiproben und Kompromittierungsindikatoren, an die Partner der Cyber Threat Alliance weitergegeben. CTA-Mitglieder nutzen diese Informationen, um ihren Kunden schnell Schutzmassnahmen anzubieten und böswillige Cyberakteure systematisch außer Gefecht zu setzen.
Weitere Details zu Lockergaga:
https://unit42.paloaltonetworks.com/born-this-way-origins-of-lockergoga/
