Das MalwareHunterTeam entdeckte eine Ransomware, die Kommentare auf YouTube einfordert anstelle einer Bitcoin-Zahlung.
Verlangen normalerweise Ransomware-Erpresser Lösegeld in Form von Kryptowährungen, so ist das in diesem aktuellen Fall etwas anders. Der Angreifer fordert hier stattdessen die Opfer auf, seinen YouTube-Kanal zu abonnieren und die meisten Videos zu kommentieren. Falls man alle diese Interaktionen durchführt, würde man den Schlüssel zum Entsperren seiner Dateien erhalten, so das Versprechen. Darüber berichtete Motherboard Vice.
Via Ransomware zu mehr YouTube-Followern?
Das MalwareHunterTeam, eine Gruppe unabhängiger Cybersicherheitsforscher, verwies in einem Twitter-Tweet darauf, dass sie einen neuen Ransomware-Angriff, namens Black Eye, entdeckt haben, den das „GHOST CYBER TEAM“ entwickelt hat. Wenn die Ransomware in einen Computer eindringt, verschlüsselt sie auch hier alle Dateien und hinterlässt eine Textdatei auf dem Desktop mit Anweisungen zur Wiederherstellung der Informationen. Allerdings erscheint statt einer Bitcoin-Lösegeld-Forderung die folgende Aufforderung:
„Hallo, alle Ihre Dateien wurden durch Ransomware gesperrt, aber Sie können wieder darauf zugreifen, wenn Sie meinen YouTube-Kanal abonnieren und die meisten Videos kommentieren!“
Auf dem YouTube-Kanal sind zahlreiche Videos auf Indonesisch zu sehen. Wie aus der Textdatei hervorgeht, wäre dies das Herkunftsland des Angreifers. Die Hacker ermutigen darin zudem ihre Opfer mit einem „Don’t sad“. (Zu Deutsch: seid nicht traurig.)
YouTube-Kanal Error 404 verlangt nach Aufmerksamkeit
Den betreffenden Kanal hat YouTube überraschenderweise noch nicht gesperrt. Unter dem Namen Error 404 enthält er kurze Videos über Hacking-Tests und Ransomware-Infektionen. Darunter auch einige, die unter Windows 7 ausgeführt werden. Im Moment scheint das GHOST CYBER TEAM jedoch noch nicht besonders erfolgreich gewesen zu sein. Mit nur 66 Abonnenten haben die Videos auf dem Kanal bisher keinerlei Resonanz erzielt.
Recorded Future bestätigt Echtheit der Ransomware
Allan Liska, ein Cybersecurity-Forscher bei Recorded Future, der sich auf das Aufspüren von Ransomware spezialisiert hat, gab gegenüber Motherboard Vice in einem Online-Chat an, dass die Malware echt ist. Er sagte, dass er sie zwar nicht analysiert hat. Er hätte jedoch eine unabhängige Analyse eines anderen Forschers in einem privaten Forum gesehen. Liska führte aus, dass es sich hierbei um eine Ransomware für einen einzelnen Computer handelt, die sich also nicht weiter verbreitet.
Weitere kuriose Forderung: Nacktfotos von den Opfern
Die zum Verschlüsseln verwendete Ransomware erkennen bereits viele Antivirenprogramme als bösartig. Dies geht aus diesem VirusTotal-Link, einem Malware-Repository, hervor. Immerhin hat hier der Angreifer ein ziemlich harmloses Anliegen.
In der Vergangenheit konnten wir schon feststellen, dass Ransomware-Angriffe nach viel sensiblerem Material verlangten, einschließlich der Forderung nach Nacktfotos im Austausch für eine Daten-Entschlüsselung. Darüber informierten im September 2017 ebenso die Sicherheitsforscher des MalwareHunterTeams, das sich auf Ransomware spezialisiert hat, auf Twitter.
Tarnkappe.info
