Eine neue Variante der StopCrypt Ransomware (auch bekannt als STOP) wurde entdeckt, die einen mehrstufigen Ausführungsprozess mit Shellcodes nutzt, um Sicherheitstools zu umgehen.
StopCrypt, auch bekannt als STOP Djvu, ist die am weitesten verbreitete Ransomware, über die jedoch selten gesprochen wird. Während häufig über große Ransomware-Operationen wie LockBit, BlackCat und Clop berichtet wird, findet STOP bei Sicherheitsforschern seltener Erwähnung. Der Grund dafür ist, dass diese Ransomware-Operation typischerweise nicht Unternehmen, sondern Verbraucher ins Visier nimmt, mit dem Ziel, Zehntausende von kleineren Lösegeldzahlungen im Bereich von 400 bis 1.000 Dollar zu generieren, anstatt eine einzelne Forderung in Millionenhöhe zu stellen.
Die Ransomware wird üblicherweise über Malvertising und zwielichtige Websites verbreitet, die Adware-Bündel unter dem Deckmantel kostenloser Software, Spiel-Cheats und Software-Cracks anbieten. Die Installation dieser Programme führt jedoch dazu, dass Benutzer mit einer Vielzahl von Malware infiziert werden, einschließlich Passwort stehlender Trojaner und der STOP-Ransomware.
Seit ihrer ersten Veröffentlichung im Jahr 2018 hat sich der Ransomware-Verschlüsseler kaum verändert, wobei neue Versionen meist veröffentlicht wurden, um kritische Probleme zu beheben. Daher ist die Veröffentlichung einer neuen STOP-Version besonders beunruhigend, da eine große Anzahl von Menschen betroffen sein wird.
Neuer mehrstufiger Ausführungsprozess
Das Bedrohungsforschungsteam von SonicWall hat eine neue Variante der STOP-Ransomware (sie nennen sie StopCrypt) entdeckt, die nun einen mehrstufigen Ausführungsmechanismus verwendet. Zunächst lädt die Malware eine scheinbar unzusammenhängende DLL-Datei (msim32.dll), möglicherweise als Ablenkung. Zudem implementiert sie eine Reihe von zeitverzögernden Schleifen, die möglicherweise dazu dienen, zeitbezogene Sicherheitsmaßnahmen zu umgehen.
StopCrypt nutzt API-Aufrufe für verschiedene Operationen, einschließlich der Erfassung laufender Prozesse, um die Umgebung zu verstehen, in der sie operiert. Der nächste Schritt beinhaltet Process Hollowing, bei dem StopCrypt legitime Prozesse kapert und sein Payload diskret im Speicher ausführt. Dies geschieht durch eine Reihe sorgfältig orchestrierter API-Aufrufe, die den Prozessspeicher und den Kontrollfluss manipulieren.
Sobald das endgültige Payload ausgeführt wird, erfolgt eine Reihe von Aktionen, um die Persistenz der Ransomware zu sichern, Zugriffskontrolllisten (ACLs) zu modifizieren und eine geplante Aufgabe zu erstellen, die das Payload alle fünf Minuten ausführt.
Dateien werden verschlüsselt, und ihnen wird die neue Erweiterung „.msjd“ hinzugefügt. Es ist jedoch zu beachten, dass es hunderte von mit STOP verbundenen Erweiterungen gibt, da sie oft gewechselt werden.
Schließlich wird in jedem betroffenen Ordner eine Lösegeldforderung mit dem Namen „_readme.txt“ erstellt, die den Opfern Anweisungen zur Zahlung des Lösegeldes für die Datenwiederherstellung gibt.
Die Entwicklung von StopCrypt zu einer heimlicheren und mächtigeren Bedrohung unterstreicht einen besorgniserregenden Trend im Bereich der Cyberkriminalität. Obwohl die monetären Forderungen von StopCrypt nicht hoch sind und ihre Betreiber keine Datendiebstähle durchführen, könnte der Schaden, den sie vielen Menschen zufügen können, erheblich sein.