AlumniLocker Ransomware
Infosec-Forscher haben eine neue potenzielle Ransomware-Bedrohung entdeckt, die auf der zuvor erkannten Thanos (Tycoon) Ransomware basiert. Diese neue Variante der Thanos Ransomware heißt AlumniLocker Ransomware und weist einige ungewöhnliche Merkmale auf, die darauf hindeuten könnten, dass die dafür verantwortliche Gruppe bei der Durchführung von Ransomware-Angriffskampagnen noch ziemlich unerfahren ist.
AlumniLocker verwendet als ersten Verstoßvektor Phishing-E-Mails mit beschädigten PDF-Anhängen. Der Text der E-Mail und die angehängte Datei ähneln einer wichtigen Rechnung, um den Zielbenutzer dazu zu bringen, die Datei so schnell wie möglich zu öffnen. In der gefälschten Rechnungs-PDF-Datei finden Benutzer einen Link, über den beim Klicken ein ZIP-Archiv mit einem Downloader auf ihren Computern abgelegt wird.
Die AlumniLocker-Nutzdaten werden dann von einem als JPG-Datei getarnten PowerShell-Skript abgerufen und ausgeführt. Die Methode zum Initiieren der Ransomware missbraucht ein BITS-Modul (Background Intelligent Service Transfer). Nach der Bereitstellung verschlüsselt die Bedrohung die Dateien des Opfers und hängt ".alumni" als neue Erweiterung an ihre ursprünglichen Namen an. Nach Abschluss der Verschlüsselungsroutine wird eine Textdatei mit Anweisungen für das Opfer generiert.
Hier erscheint der erste besondere Aspekt der AlumniLocker Ransomware. Anscheinend wollen die Cyberkriminellen die Summe von 10 Bitcoin erhalten, wenn sie das Entschlüsselungswerkzeug an ihre Opfer senden wollen. Der Preis von Bitcoin ist für seine Volatilität berüchtigt, aber bei der gegenwärtigen Rate sind 10 Bitcoins mehr als 500.000 US-Dollar wert, ein Betrag, den nur wenige Einzelpersonen oder sogar Organisationen einfach herumliegen haben. Die Hacker scheinen auch eine Vorstellung von dieser Realität zu haben, da sie auch einen Erpressungs-Backup-Plan haben. Opfer werden gewarnt, dass Informationen, die aus dem von AlumniLocker kompromittierten System gesammelt wurden, auf einer speziell gestalteten Website veröffentlicht werden, wenn sie das Lösegeld nicht innerhalb von 48 Stunden zahlen. Das Folgen des Links zeigt jedoch, dass zum Zeitpunkt der Entdeckung von AlumniLocker auf die Website nicht zugegriffen werden konnte.
Das exorbitante Lösegeld in Verbindung mit der nicht funktionierenden Leck-Website ist ein Zeichen dafür, dass die Hacker-Gruppe hinter AlumniLocker möglicherweise noch in den Kinderschuhen steckt.
