Schwerte, 11. Juli 2014 – Die Malware CryptoLocker hat in den letzten neun Monaten bereits mehr als 27 Millionen US-Dollar bei Anwendern erpresst. Bitdefender war seit Bekanntwerden im November 2013 aktiv daran beteiligt, Schwachstellen zu finden und die Personen zu identifizieren, die hinter dem Trojaner stecken. Mit der Beschlagnahmung des Botnetzes GameOver Zeus konnte Anfang Juni die Verbreitung von Cryptolocker zwar gestoppt werden, eine Vielzahl an Rechnern ist aber noch infiziert. Anwender sollten daher unbedingt einen Virenscan auf ihren Rechnern durchführen, um einen inaktiven CryptoLocker zu erkennen und zu beseitigen.
Die Malware verbreitet sich überwiegend über Spam-Nachrichten, in deren Anhang sich eine Passwort-geschützte Datei mit einem CryptoLocker-Downloader befindet. Sobald dieser Trojaner ausgeführt wird, kontaktiert CryptoLocker sein Command-and-Control-Center, das einen 2048-BIT-RSA-Schlüssel generiert, dessen Entschlüsselung sehr unwahrscheinlich ist.
Die Russland-Verbindung
Bereits kurz nach der Entdeckung des Trojaners versuchten die Experten von Bitdefender über die IP-Adresse herauszufinden, wer hinter CryptoLocker steckt. Sie wurden an einen russischen Händler weitergeleitet, der sich aber nicht als Eigentümer von CryptoLocker erwies, sondern den Server vermietet hatte. Der Reseller fuhr den Server herunter, danach war der Trojaner für einige Tage verschwunden. Kurz darauf wurde aber festgestellt, dass sich der Trojaner trotz des sogenannten „Takedowns“ weiter verbreitete.
In enger Zusammenarbeit mit dem russischen Händler fand Bitdefender heraus, dass der gesuchte Server in Großbritannien gehostet wurde. Daneben begann die britische NCCU (National Cyber Crime Unit) eine unabhängige Untersuchung und überwachte den Server. Um seinen Zustand zu bewahren, wurde er am 6. Februar 2014 isoliert. Allerdings war es nach der Beschlagnahmung nicht mehr möglich, auf den Server zuzugreifen. Zwei Wochen später informierte die NCCU Bitdefender, dass es sich bei dem Server um einen Proxy handelte, der eine Botnetz-Infrastruktur verbarg.
Botnetz noch lange aktiv
Währenddessen überspielte die CryptoLocker-Bande ihre Daten auf einen anderen Rechner. Am 28. Januar 2014 wurde von einem infizierten Computer eine Verbindung an zwei IPs aufgebaut, die in einem russischen Rechenzentrum gehostet wurden – ein klarer Indikator, dass das Botnetz noch aktiv war. Durch eine ständige Überwachung der Domains, die vom entsprechenden Algorithmus erzeugt wurden, konnte die IP-Adresse ermittelt werden. Eine dieser IP-Adressen wurde auf einem Server in der Ukraine gehostet. Die Entwickler von Bitdefender fanden heraus, dass der Tier-1-Proxy-Server den Datenverkehr seiner Opfer auf einen zweiten Server weiterleitete, um seine Anonymität sicherzustellen. Da Bitdefender Zugang zu dem Tier-1-Proxy hatte, konnte das Unternehmen die Konfigurationsdateien verfolgen und auf den Tier-2-Proxy zugreifen. Diesem Server waren mehr als 10 verschiedene IP-Adressen zugewiesen.
Enge Verbindung mit GameOver Zeus
Am 2. Juni 2014 konnten die Sicherheitsbehörden das Botnetz GameOver Zeus ausschalten, das eine tragende Rolle bei der Verbreitung und Koordination von CryptoLocker spielte. Allerdings sind derzeit noch eine Reihe von Computern mit CryptoLocker infiziert, die bislang noch nicht „aktiviert“ worden sind. Sobald dies geschieht, ist davon auszugehen, dass Anwender den Zugriff auf ihre Daten sofort verlieren werden.
„Um einen inaktiven CryptoLocker zu erkennen und zu beseitigen, sollten Anwender daher unbedingt einen Virenscan auf ihrem Rechner durchführen“, erläutert Catalin Cosoi, Chief Security Researcher bei Bitdefender. „Zwar scheint die Gefahr mittlerweile gebannt, dennoch sollten Anwender neben der Verwendung einer Anti-Malware-Lösung auch Software-Updates für Produkte von Drittanbietern wie Java, Adobe Reader oder Flash einsetzen, sobald diese verfügbar sind.“
Weitere Informationen zu CryptoLocker sowie zur Infrastruktur dahinter geben Experten auf der diesjährigen Virus Bulletin-Konferenz vom 24. bis 26. September 2014 in Seattle.
Weitere Informationen über das Unternehmen und seine Produkte finden Sie unter www.bitdefender.de.
Über Bitdefender®
Bitdefender ist Hersteller einer der weltweit schnellsten und effektivsten Produktserien für international zertifizierte Internet-Sicherheits-Software. Seit dem Jahr 2001 ist das Unternehmen immer wieder ein innovativer Wegbereiter der Branche, indem es preisgekrönte Schutzlösungen einführt und weiterentwickelt. Mittlerweile setzen weltweit rund 400 Millionen Privat- und Geschäftsanwender auf die Bitdefender-Technologie, um ihre digitale Welt sicherer zu machen. Bitdefender hat vor kurzem eine Reihe wichtiger Empfehlungen und Auszeichnungen in der globalen Sicherheitsindustrie erhalten. Dazu gehören “Produkt des Jahres 2012” von AV-Comparatives, “Beste Reparatur 2012” von AV-Test und “Editor’s Choice” des PC Mag. Diese Auszeichnungen bestätigen den Spitzenplatz der Software unter den Sicherheitslösungen. Weitere Informationen zu den Antivirenprodukten von Bitdefender sind im Bitdefender Security Center der Unternehmenswebseite im Pressecenter verfügbar.
Über Bitdefender HOTforSecurity®
Zusätzlich veröffentlicht Bitdefender das englischsprachige Blog „HOTforSecurity“, welches rund um die aktuelle Sicherheitslage weltweit informiert. Es bietet eine prickelnde Mischung aus nebulösen Computersicherheitsgeschichten und sachlich fundierten Stories, die die schmutzige Welt der Internetbetrügereien, Spams, Scams, Malware und des Klatsches sichtbar macht. Bitdefender pflegt auch eine deutsche HOTforSecurity-Version, die sich insbesondere auf die Nachrichtenlage im deutschsprachigen Raum (Deutschland, Österreich, Schweiz) konzentriert. Wollen Sie zu allen aktuellen Bedrohungen immer auf dem Laufenden sein, dann abonnieren Sie hier unseren Newsletter.
Pressekontakt:
Bitdefender
DV24, Building A
24 Delea Veche Street, Sector 2
Bukarest, 024102, Rumänien
Ansprechpartner:
Andrei Taflan
PR Coordinator
Tel.: +40 (0) 731 – 496 792
E-Mail: ataflan@bitdefender.com
Deutsche Niederlassung:
Bitdefender GmbH
TechnoPark Schwerte
Lohbachstrasse 12
D – 58239 Schwerte
PR-Agentur:
Fink & Fuchs PR AG
Paul-Heyse-Str. 29
D-80336 München
Ansprechpartner:
Michaela Eichner
Tel.: +49 (0)89 – 589787-14
E-Mail: bitdefender@ffpr.de
Weitere Artikel
Bitdefender startet Total Security Multi-Device 2015 mit BRAIN-Unterstützung
Bitdefender warnt vor russischen Hackern, die unter dem Deckmantel regierungsfeindlicher Software den Kelihos-Trojaner verbreiten
Bitdefender bietet CERTs und Police against CyberCrime seine Unterstützung an
Bitdefender warnt vor Instant Messaging Trojaner