Die Malware CryptoLocker hat in den letzten neun Monaten bereits mehr als 27 Millionen US-Dollar bei Anwendern erpresst. Bitdefender war seit Bekanntwerden im November 2013 aktiv daran beteiligt, Schwachstellen zu finden und die Personen zu identifizieren, die hinter dem Trojaner stecken. Mit der Beschlagnahmung des Botnetzes GameOver Zeus konnte Anfang Juni die Verbreitung von Cryptolocker zwar gestoppt werden, eine Vielzahl an Rechnern ist aber noch infiziert. Anwender sollten daher unbedingt einen Virenscan auf ihren Rechnern durchführen, um einen inaktiven CryptoLocker zu erkennen und zu beseitigen.
Die Malware verbreitet sich überwiegend über Spam-Nachrichten, in deren Anhang sich eine Passwort-geschützte Datei mit einem CryptoLocker-Downloader befindet. Sobald dieser Trojaner ausgeführt wird, kontaktiert CryptoLocker sein Command-and-Control-Center, das einen 2048-BIT-RSA-Schlüssel generiert, dessen Entschlüsselung sehr unwahrscheinlich ist.
Die Russland-Verbindung
Bereits kurz nach der Entdeckung des Trojaners versuchten die Experten von Bitdefender über die IP-Adresse herauszufinden, wer hinter CryptoLocker steckt. Sie wurden an einen russischen Händler weitergeleitet, der sich aber nicht als Eigentümer von CryptoLocker erwies, sondern den Server vermietet hatte. Der Reseller fuhr den Server herunter, danach war der Trojaner für einige Tage verschwunden. Kurz darauf wurde aber festgestellt, dass sich der Trojaner trotz des sogenannten „Takedowns“ weiter verbreitete.
In enger Zusammenarbeit mit dem russischen Händler fand Bitdefender heraus, dass der gesuchte Server in Großbritannien gehostet wurde. Daneben begann die britische NCCU (National Cyber Crime Unit) eine unabhängige Untersuchung und überwachte den Server. Um seinen Zustand zu bewahren, wurde er am 6. Februar 2014 isoliert. Allerdings war es nach der Beschlagnahmung nicht mehr möglich, auf den Server zuzugreifen. Zwei Wochen später informierte die NCCU Bitdefender, dass es sich bei dem Server um einen Proxy handelte, der eine Botnetz-Infrastruktur verbarg.
Botnetz noch lange aktiv
Währenddessen überspielte die CryptoLocker-Bande ihre Daten auf einen anderen Rechner. Am 28. Januar 2014 wurde von einem infizierten Computer eine Verbindung an zwei IPs aufgebaut, die in einem russischen Rechenzentrum gehostet wurden – ein klarer Indikator, dass das Botnetz noch aktiv war. Durch eine ständige Überwachung der Domains, die vom entsprechenden Algorithmus erzeugt wurden, konnte die IP-Adresse ermittelt werden. Eine dieser IP-Adressen wurde auf einem Server in der Ukraine gehostet. Die Entwickler von Bitdefender fanden heraus, dass der Tier-1-Proxy-Server den Datenverkehr seiner Opfer auf einen zweiten Server weiterleitete, um seine Anonymität sicherzustellen. Da Bitdefender Zugang zu dem Tier-1-Proxy hatte, konnte das Unternehmen die Konfigurationsdateien verfolgen und auf den Tier-2-Proxy zugreifen. Diesem Server waren mehr als 10 verschiedene IP-Adressen zugewiesen.
Enge Verbindung mit GameOver Zeus
Am 02. Juni 2014 konnten die Sicherheitsbehörden das Botnetz GameOver Zeus ausschalten, das eine tragende Rolle bei der Verbreitung und Koordination von CryptoLocker spielte. Allerdings sind derzeit noch eine Reihe von Computern mit CryptoLocker infiziert, die bislang noch nicht „aktiviert“ worden sind. Sobald dies geschieht, ist davon auszugehen, dass Anwender den Zugriff auf ihre Daten sofort verlieren werden.
„Um einen inaktiven CryptoLocker zu erkennen und zu beseitigen, sollten Anwender daher unbedingt einen Virenscan auf ihrem Rechner durchführen“, erläutert Catalin Cosoi, Chief Security Researcher bei Bitdefender. „Zwar scheint die Gefahr mittlerweile gebannt, dennoch sollten Anwender neben der Verwendung einer Anti-Malware-Lösung auch Software-Updates für Produkte von Drittanbietern wie Java, Adobe Reader oder Flash einsetzen, sobald diese verfügbar sind.“
Weitere Informationen zu CryptoLocker sowie zur Infrastruktur dahinter geben Experten auf der diesjährigen Virus Bulletin-Konferenz vom 24. bis 26. September 2014 in Seattle.