{"id":270088,"date":"2022-07-05T12:24:07","date_gmt":"2022-07-05T10:24:07","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=270088"},"modified":"2022-10-09T00:47:46","modified_gmt":"2022-10-08T22:47:46","slug":"astralocker-will-aktivitten-beenden-und-gibt-decryptor-frei","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/07\/05\/astralocker-will-aktivitten-beenden-und-gibt-decryptor-frei\/","title":{"rendered":"AstraLocker will Aktivitäten beenden und gibt Decryptor frei"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Momentan ereignen sich merkw\u00fcrde Sachen. Der\u00a0 Bedrohungsakteur, der hinter der weniger bekannten Ransomware AstraLocker steckt, will wohl seine Aktivit\u00e4ten einstellen. Der Akteur plant auf Kryptojacking umzusteigen und hat ein Archiv mit AstraLocker-Entschl\u00fcsselungsprogrammen ver\u00f6ffentlicht. Ich versuche mal die mir bekannten Sachverhalte zusammen zu fassen, obwohl vieles unklar ist, auch wenn sich der Akteur vermutlich auch in meinem englischsprachigen Blog gemeldet hat.<\/p>\n

<\/p>\n

Was zu AstraLocker<\/h2>\n

\"\"Die Bedrohungsakteure unter dem Namen AstraLocker waren mir bisher eigentlich unbekannt. Lediglich gestern hatte ich im Blog-Beitrag AstraLocker 2.0: Infektion per Word-Anhang<\/a> \u00fcber einen solchen Akteur berichtet. Dessen Schadsoftware war Sicherheitsforschern von ReversingLabs ins Netz gegangen. Sie stie\u00dfen in Phishing-Mails auf diese relativ unbekannte Schadsoftware. In der Version 2.0 sind die Angreifer dazu \u00fcbergegangen, die sch\u00e4dliche Nutzlast direkt aus einem Word-Dokument, welches als Anhang zu einer Mail mitgeliefert wird, nachzuladen. Das war recht ungew\u00f6hnlich, weil Ransomware-Gruppen bisher versuchten, die Erkennung m\u00f6glichst lange zu vermeiden.<\/p>\n

Merkw\u00fcrdiger Hinweis auf Decryptor-Archiv<\/h2>\n

Zu meinem englischsprachigen Blog-Beitrag AstraLocker 2.0: Infection via Word attachment<\/a> schlug gestern ein ungew\u00f6hnlicher Kommentar<\/a> ein. Ein Besucher des Blogs mit dem Namen AstraLocker <\/em>teilte einen Link auf ein Decryptor-Archive mit, das auf Virustotal hochgeladen wurde.<\/p>\n

Link auf virustotal.com
\nIts all from me<\/p><\/blockquote>\n

So ganz verstanden habe ich das Ganze nicht, zumal er schrieb, dass Bleeping Computer seine Registrierung \u00fcber Tor reparieren solle. Kollege Lawrence Abrams, der Bleeping Computer betreibt, war am gestrigen US-Unabh\u00e4ngigkeitstag auch abwesend, so dass er meine private Anfrage auf Twitter nicht beantworten konnte. Der Link auf VirusTotal<\/a> zeigt, dass dort eine Archivdatei AstraLocker Decryptors.zip<\/a> hochgeladen wurde.<\/p>\n

\"AstraLocker
\nAstraLocker Decrytoren auf VirusTotal<\/p>\n

Dieses Archiv wird aber von 42 Virenscannern als sch\u00e4dlich markiert. Verunsichert war ich auch, weil es ja im vorhergehenden Blog-Beitrag AstraLocker 2.0: Infection via Word attachment<\/a> hie\u00df, dass die Leute wohl \u00fcber begrenzte F\u00e4higkeiten f\u00fcr den Betrieb einer Ransomware-Plattform bes\u00e4\u00dfen.<\/p>\n

So ganz aus dem hohlen Bauch heraus reimte ich mir zusammen, dass der Kommentar auch ein Versuch des \"Dummenfangs\" sein k\u00f6nnte. Einfach die Ransomware in eine ZIP-Archiv packen und irgendwo hochladen, in der Hoffnung, dass Leute drauf hereinfallen. Das betreffende ZIP-Archiv l\u00e4sst sich in einer bestimmten Fassung von dieser Schweizer Webseite<\/a> herunterladen. Hochgeladen wurde es von den Kollegen von Bleeping Computer.<\/p>\n

Bleeping Computer: AstraLocker steckt auf<\/h2>\n

Nun hat sich der Bedrohungsakteur hinter AstraLocker wohl an Bleeping Computer gewandt und denen mitgeteilt, dass er seine Operationen im Ransomware-Bereich einstelle. Man wolle sich auf Kryptojacking fokussieren, also den Raub von Kryptoguthaben aus entsprechenden Konten. Die Kollegen zitieren den Ransomware-Entwickler Beitrag AstraLocker ransomware shuts down and releases decryptors<\/a> mit:<\/p>\n

It was fun, and fun things always end sometime. I'm closing the operation, decryptors are in zip files, clean. I will come back. I'm done with ransomware for now. I'm going in cryptojaking lol.<\/p><\/blockquote>\n

Also: Eigenauskunft des Akteurs ist, dass die Dateien mit den Entschl\u00fcsslern sauber seien, auch wenn diese auf VirusTotal als sch\u00e4dlich markiert werden. BleepingComputer hat das Archiv heruntergeladen und best\u00e4tigt, dass die Entschl\u00fcsselungsprogramme legitim sind und funktionieren. Sie haben eine Decryptor an Dateien getestet haben, die in einer aktuellen AstraLocker-Kampagne verschl\u00fcsselt wurden. Es gibt aber wohl eine Reihe an Entschl\u00fcsselern, von denen einige m\u00f6glicherweise f\u00fcr fr\u00fchere Kampagnen gedacht waren. Die Kollegen haben noch einige Details im Beitrag ver\u00f6ffentlicht und tippen darauf, dass dem Akteur die pl\u00f6tzliche Aufmerksamkeit durch Medien zu hei\u00df gewesen sein k\u00f6nnte.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Momentan ereignen sich merkw\u00fcrde Sachen. Der\u00a0 Bedrohungsakteur, der hinter der weniger bekannten Ransomware AstraLocker steckt, will wohl seine Aktivit\u00e4ten einstellen. Der Akteur plant auf Kryptojacking umzusteigen und hat ein Archiv mit AstraLocker-Entschl\u00fcsselungsprogrammen ver\u00f6ffentlicht. Ich versuche mal die mir bekannten Sachverhalte … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-270088","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/270088","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=270088"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/270088\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=270088"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=270088"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=270088"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}