Die Ransomware-Group AvosLocker hat unbeabsichtigt eine US-Polizeistelle angegriffen und infolge einen kostenlosen Decrypter bereitgestellt.
Wie von Bleeping Computer berichtet, hat die AvosLocker-Ransomware-Group im November letzten Jahres versehentlich eine US-Polizeibehörde gehackt. Sie stahl deren Daten und verschlüsselte die Geräte. Als die Gruppe jedoch erkannte, bei wem sie eingedrungen war, entschuldigte sie sich und stellte einen kostenlosen Decrypter bereit.
Dies teilte auch Sicherheitsforscher pancak3 in einem Tweet mit. Laut einem Screenshot, der von @pancak3lullz auf Twitter geteilt wurde, hat ein AvosLocker-Betreiber kürzlich seine Beute aufgegeben, nachdem er herausgefunden hatte, dass sein Opfer eine Polizeibehörde in den USA war. Der Screenshot zeigt eine AvosLocker-Chatnachricht, in der es heißt: „Entschuldigung, ich habe festgestellt, dass es sich um eine US-Regierungsbehörde handelt. Wir werden Ihnen erlauben, kostenlos zu entschlüsseln. Refresh for the decryptor.“
Obwohl die AvosLocker Ransomware-Group der Polizei einen Decrypter zur Verfügung stellte, weigerte sie sich dann jedoch, eine Liste der gestohlenen Dateien bereitzustellen oder Informationen darüber preiszugeben, wie sie in das Netzwerk der Abteilung eingebrochen sind.
Die Ransomware-Bande AvosLocker verwendet ein gleichnamiges Tool, um anfällige Systeme zu verschlüsseln. Der Avoslocker-Virus gehört zu den Infektionen vom Typ Ransomware. Diese verschlüsselt alle Benutzerdaten auf dem PC (Fotos, Dokumente, Excel-Tabellen, Musik, Videos usw.) und fügt jeder Datei ihre spezifische Erweiterung „.avos2“ hinzu. Infolge fordert die Ransomware-Group ihre Opfer auf, ihre Daten per Lösegeldzahlung zurückzukaufen. AvosLocker legt die Lösegeldforderung GET_YOUR_FILES_BACK.TXT in jedem verschlüsselten Verzeichnis ab.
AvosLocker agiert als Franchise-Unternehmen
Ganz ähnlich wie bei REvil vermietet AvosLocker seine Erpressersoftware auch an andere Kriminelle. Dafür kassiert sie dann Gebühren. Das Geschäftsmodell bezeichnet man als »Ransomware as a service«. Das Ransomware-as-a-Service (RaaS)-Angebot wird als Affiliate-Service betrieben. Die Affiliates verbreiten die Malware durch ständig neue Opfer und die AvosLocker-Betreiber warten die Malware- und Zahlungsinfrastruktur.
Sicherheitsforscher von SophosLabs informierten darüber, dass erste Erwähnungen über die AvosLocker-Ransomware-Gruppe im Juli 2021 erschienen. AvosLocker geriet jüngst in die Schlagzeilen mit ihrem Ransomware-Angriff im Oktober letzten Jahres. Sie attackierten den taiwanesischen Motherboard-Hersteller Gigabyte und drohten mit einer Veröffentlichung sämtlicher erbeuteter Daten.
Die von dieser Gruppe verwendete Ransomware-Variante umgeht den Schutzschild für Anti-Malware-Programme. Nach der Injektion startet die AvosLocker-Ransomware das System im abgesicherten Modus neu und startet dann das Remote-Verbindungstool AnyDesk. Dies schafft ein Szenario, in dem die Angreifer die vollständige Kontrolle über jeden Computer haben, den sie mit AnyDesk einrichteten.
Ein Mitglied der AvosLocker Ransomware-Group teilte BleepingComputer mit, dass sie keine klaren Richtlinien dafür haben, wen sie attackieren. Normalerweise vermeiden sie jedoch Ransomware-Angriffe von Regierungsbehörden und Krankenhäusern. Wie es dann aber dennoch dazu kommen konnte, verrät der AvosLocker-Betreiber:
„Sie sollten jedoch beachten, dass ein Partner manchmal ein Netzwerk sperrt, ohne dass wir es zuerst überprüfen.“
Weiterhin teilten sie auf die Anfrage mit, ob sie es aus Angst vor Strafverfolgungsbehörden absichtlich vermeiden würden, Regierungsbehörden ins Visier zu nehmen, es liege eher daran, dass „Steuergelder im Allgemeinen schwer zu bekommen sind“. Der Hacker weist darauf hin, dass das US-Recht in seinem „Mutterland“ „keine Zuständigkeit“ hat. Internationale Strafverfolgungsoperationen haben allerdings in letzter Zeit mehrere Ransomware-Mitglieder festgenommen, darunter Angehörige der Ransomware-Gangs REvil, Egregor, Netwalker und Clop.