Spiegel

EvilQuest: Neue Erpressersoftware bedroht Apple-Nutzer

evilquest:-neue-erpressersoftware-bedroht-apple-nutzer




MacBook mit Apple-Logo


MacBook mit Apple-Logo

Michael Kappeler/ dpa

Es kommt nicht oft vor, dass IT-Sicherheitsexperten eine Ransomware entdecken, die explizit Mac-Computer zum Ziel hat. Laut “The Register” hat die IT-Sicherheitsfirma Malwarebytes eine solche Erpressersoftware zuletzt vor vier Jahren gefunden – und nun wieder.

Die als EvilQuest bezeichnete Software verschlüsselt die Festplatte eines befallenen Macs so, dass dessen Besitzer nicht mehr auf seine Daten zugreifen kann. Stattdessen wird ein Hinweisfenster angezeigt, dass dem Nutzer erklärt, er habe keine Chance, seine Daten wiederherzustellen. Die einzige Möglichkeit, seine “wichtigen Dokumente, Fotos, Videos und anderen Dateien” freizubekommen sei, ein Lösegeld zu zahlen. Gegen eine einmalige Zahlung von 50 Dollar in Bitcoin, “ohne weitere Gebühren”, wäre das möglich, “garantiert”. Das Angebot sei drei Tage lang gültig.




Nachdem EvilQuest heimlich die Festplatte ihres Opfers verschlüsselt hat, erscheint dieser Hinweis auf dem Bildschirm


Nachdem EvilQuest heimlich die Festplatte ihres Opfers verschlüsselt hat, erscheint dieser Hinweis auf dem Bildschirm

Malwarebytes

Doch selbst, wenn man die geforderte Summe zahlt und die kriminellen Betreiber der Schadsoftware die Festplatte tatsächlich entschlüsseln, was in ihrem Metier keineswegs selbstverständlich ist, ist man damit nicht aus dem Schneider. Denn neben der Verschlüsselungssoftware installiert EvilQuest noch einige weitere Schädlinge, die offenbar auch nach einer Zahlung im Hintergrund ihr Unwesen treiben. Damit geht EvilQuest über andere bekannte Verschlüsselungssoftware hinaus.

Ein Schadsoftware-Rundumprogramm

Eine Analyse des Sicherheitsexperten Patrick Wardle zufolge sucht die Software nämlich den Rechner nach Daten mit Bezeichnungen wie wallet.pdf, wallet.png und key.png ab, wie sie von Programmen verwendet werden, mit denen man am Computer Kryptowährungen verwaltet. Ob diese Dateien auch an die Täter übermittelt werden, ist unklar.

Allerdings wird zusätzlich auch noch ein sogenannter Keylogger installiert, der alle Texteingaben des Nutzers protokolliert und so beispielsweise Onlinebanking-Passworte ausspionieren könnte. Abgerundet wird das kriminelle Softwarepaket durch eine sogenannte Reverse Shell, eine Software, mit der Angreifer den Schutz einer Firewall umgehen und aus der Ferne die Steuerung des Computers übernehmen könnten. Quasi nebenbei sucht die Software den befallenen Rechner nach populären Virenschutzprogrammen ab.

In Raubkopien versteckt

Entdeckt wurde EvilQuest auf russischen Webseiten und in Foren, über die Raubkopien kommerzieller Software verteilt werden. Demnach hat sich der Schädling beispielsweise als Kopie der Netzwerkanalyse-Software Little Snitch, der Musiksoftware Ableton Live und der DJ-Software Mixed Key getarnt. Sicherheitsforscher Dinesh Devadoss endeckte zudem eine Version der Schadsoftware, die sich als Google-Softwareupdate ausgab. Man kann aber davon ausgehen, dass EvilQuest auch noch über illegale Kopien anderer populärer Programme verteilt wird. Wer dennoch den Fehler macht, sich aus dubiosen Quellen mit nicht lizenzierter Software zu versorgen, begibt sich in Gefahr.

In einem Blogpost erklärt Sicherheitsexperte Thomas Reed von Malwarebytes, dass noch ungeklärt sei, was für eine Verschlüsselung die Täter bei EvilQuest verwenden. Deshalb sei er sich nicht sicher, wie aussichtslos die Situation für Opfer dieses Schädlings ist “Es ist möglich, dass weitere Untersuchungen zu einer Methode führen, die es möglich macht, die Daten zu entschlüsseln. Es ist aber auch möglich, dass das nicht geschieht.”

Back-ups auf der Bank

Als beste Methode, sich vor den Folgen einer Erpressersoftware zu schützen, empfiehlt Reed regelmäßige Back-ups auf mindestens zwei voneinander unabhängigen Medien. Er selbst lege solche Sicherheitskopien mit unterschiedlichen Programmen auf mehreren Festplatten an, von denen er eine in einem Bankschließfach deponiert habe. So könne er im schlimmsten Fall seine Festplatte löschen und seine Daten von einem der Back-ups wiederherstellen.

Um sich zu schützen, lässt sich derzeit vor allem die Empfehlung wiederholen, die Finger von illegalen Softwarekopien zu lassen, die regelmäßig von Kriminellen benutzt werden, um getarnte Schadsoftware zu verteilen. Zudem sind sowohl die Antivirensoftware Malwarebytes for Mac als auch Thomas Reeds kostenlose Schutzsoftware RansomWhere? in der Lage, EvilQuest zu erkennen und dessen Ausführung zu verhindern.

Icon: Der Spiegel