Verbindungen zwischen Sodinokibi, GandCrap und Nemty?
Wir übernehmen für Sie die professionelle Wiederherstellung von Daten und haben langjährige Erfahrung mit allen gängigen Systemen.
DIREKT ZUR ANFRAGE

Verbindung zwischen GandCrap, Sodinokibi und Nemty

10. Oktober 2019 - Sebastian Evers

Die RaaS-Ransomware Sodinokibi (auch Sodin oder REvil) ist eine der neueren Bedrohungen für die digitale Welt. Das Advanced Threat Research Team des Herstellers für Antiviren-, Computer- und Netzwerksicherheitssoftware McAfee hat die Ransomware umfassend analysiert.

Sodinokibi ist quasi der geistige Nachfolger von GandCrap und tritt in die Fußstapfen der Ransowmare as a Service Schadprogramme, wie es sie mittlerweile in vermehrter Anzahl gibt. Die Entwickler der Ransomware kümmern sich nicht mehr selbst um die Verbreitung der Schädlinge, den Befall von Computern und Nertzwerken oder um die Erpressung der Lösegeldsummen. Stattdessen funktioniert das Ganze über „Affilates“-Programme. Gegen eine Beteiligung am Umsatz ermöglichen die Entwickler den „Affilates“ die Verwendung des Schadcodes, um damit auf dubiose Weise Geld zu verdienen. Je nach Ransomware-Kampange behalten die Entwickler ca. 25 bis 45 Prozent des erpressten Umsatzes ein. So war es auch bei GandCrap gewesen, dessen Affiliate-System von McAfee ausgiebig analysiert wurde. Dabei wurde die Erkenntnis zutage gefördert, dass es nur ca. 300 exklusive Verbreiter für den Schadcode gab. Jeder mit einer eindeutigen ID. Die jeweils dahinterstehenden Personen konnten jedoch nie identifiziert werden.

Nachdem der Crypto-Trojaner GandCrap als Bedrohung verschwunden war, tauchte Sodinokibi auf und füllte die entstandene Lücke. Die Programmier der Schadsoftware versprechen Umsätze in Höhe von 60 bis 70 Prozent für die Verbreiter der Ransomware. Eine Besonderheit ist: Eine Limitierung der Teilnehmerliste. Für Sodinokibi wollen die Entwickler nur die besten und effektivsten Verbreiter als Affiliates anwerben. Die Elite, welche präzise ihre Opfer auswählt, die über viel Geld verfügen.

Organisierte Cyberkriminalität und Milliardengewinne

Vorbei sind die Zeiten, in denen jemand mit verbunden Augen die Schrotflinte in das Internet richtete und wahllos Zufallsopfer erpresste. Ransomware ist ein professionelles, organisiertes Geschäftsmodell geworden, bei dem es um hunderte Millionen US-Dollar geht. Von Sicherheitsexperten verfolgte Geldbewegungen erpresster Lösegeldsummen sprechen teilweise von Bitcoin-Wallets, in denen gebündelt Millarden US-Dollar liegen. Allein in China sollen bis zu einer halben Millionen Cyberkriminelle ihren Lebensunterhalt mit Ransomware und anderen Blackhat-Methoden verdienen. Und dazu zählen nicht nur die „Hacker“, Programmierer und Entwickler, sondern auch Distributoren, Support sowie Geldwäscher. Mafiöse Strukturen und organisierte Kriminalität können dabei nicht ausgeschlossen werden.

Ursprungsländer von Sodinokibi-Angriffen ausgenommen

In der Charta der Entwickler für Sodinokibi sind einige Länder als Angriffsziele ausgeschlossen. In der Ukraine, Russland, Weißrussland, Usbekistan, Kirgistan, Moldau, Kasachstan, Aserbaidschan, Armenien, Tadschikistan und Turkmenistan ist eine Verbreitung der Ransomware untersagt. Diese Nicht-Angriffs-Klausel ist sogar im Quellcode der Ransomware implementiert. Die schwarze Liste enthält Sprachen, auf welche die Tastaturbelegung des Zielcomputers geprüft wird. Ist eine der im Quellcode hinterlegten Tastatursprachen aktiv, so wird der Schadcode nicht ausgeführt. Zu den in der Liste hinterlegten Sprachen zählen neben den baltischen Sprachen unter anderem Russisch, Syrisch, Persisch und Arabisch. Dies spricht unter anderem dafür, dass die Ransomware-Entwickler aus diesen Regionen stammen und agieren. Allerdings kann es auch bedeuten, dass exakt dieser Verdacht erregt werden soll.

Nemty prüft ebenfalls Landes-Herkunft

Im Quellcode der Overkill-Encryption-Ransowmare Nemty verbirgt sich ebenfalls eine Abfrage zum Herkunftsland des befallenen Computers. Hierbei wird die IP-Adresse geprüft. Diese Abfrage prüft, ob es sich bei der IP-Adresse um ein System in Ländern wie Russland, Weißrussland, Ukraine, Tadschikistan oder Kasachstan handelt – also ähnlich der Prüfung wie Sodinokibi sie ebenfalls vornimmt. Allerdings wird die gebündelte Verschlüsselung der Daten durch Nemty dennoch ausgeführt – selbst wenn die Abfrageergebnisse positiv ausgefallen sind.

Nemty befällt Systeme anscheinend auf ähnlichen Verbreitungswegen wie Sodinokibi und zuvor GandCrab.

Ransomware Erpresser-Nachricht nahezu identisch

Eine weitere Gemeinsamkeit von Sodinobiki und Nemty ist der Textinhalt der *.txt Datei, welche ähnliche bis wortgenaue Formulierungen sowie Formatierungen und nur wenige inhaltliche Abweichungen aufweist. Allerdings gibt es eine Vielzahl unterschiedlich verfasster Erpressernachrichten. Eine weitere denkbare Möglichkeit wäre, dass in diesem Fall in Anbetracht der unübersehbaren Überschneidungen die gleichen Täter hinter den Angriffen mit den beiden Crypto-Trojanern stecken.

Dateiname: „NEMTY-DECRYPT.txt“

[+] Whats Happen? [+]

 

Your files are encrypted, and currently unavailable. You can check it: all files on your computer has extension .nemty.

By the way, everything i possible to restore, but you need to follow our instrucions. Otherwise, you cant return your data (NEVER).

 

[+] What guarantee? [+]

It‘s just a business. We absolutely do not care about you and your deals, except getting benefits.

If we do not not do our work and liabbilities – nobody will not corporate with us.

It‘s not in our interest.

If you will not cooperate with our service – for us its does not matter. But you will lose your time and data, cause just we have the private key.

In practice – time is much more valuable than money.

 

[+] How to get access on website? [+]

 

[...]

Dateiname: „686l0tek69-HOW-TO-DECRYPT.txt“

[+] Whats Happen? [+]

 

Your files are encrypted, and currently unavailable. You can check it: all files on your computer has expansion .686l0tek69. [Anmerkung: Dateierweiterung variiert bei Sodinobiki]

By the way, everything i possible to recover (restore), but you need to follow our instrucions. Otherwise, you cant return your data (NEVER).

 

[+] What guarantee? [+]

It‘s just a business. We absolutely do not care about you and your deals, except getting benefits.

To check the ability of returning files, You should go to our website. There you can decrypt one file for free.

If you will not cooperate with our service – for us its does not matter. But you will lose your time and data, cause just we have the private key.

In practice – time is much more valuable than money.

 

[+] How to get access on website? [+]

[...]

Wachsende Bedrohung Nemty

Die RaaS Nemty (Namensursprung: Gottheit der Fährmänner aus der ägyptischen Mythologie) wird aktuell als zukünftig immer größer werdende Bedrohung eingestuft. Die Verbreitung hat bislang noch nicht das Niveau von Sodinokibi oder Ryuk erreicht, zieht aber allmählich an. Sicherheitsforscher von FortiGuard haben im Rahmen Ihrer Untersuchungen eine neue Variante entdecken können, welche als Hinweis auf die zunehmende Verbreitung des neuen Verschlüsselungs-Trojaners zu deuten ist, der aufgrund der eingesetzten Verschlüsselung als unmöglich zu knacken bewertet wird.

Attingo-Magazin

Pressemeldungen & Aktuelles
Attingo in der Presse
Messetermine und Konferenzen
Blog
Stichwortverzeichnis
FAQ - Häufig gestellte Fragen
Fallstudien: Datenrettung