ESET legt gevaren TorrentLocker bloot

Onderzoekers van securitybedrijf ESET hebben de meest recente onderzoeksresultaten bekendgemaakt over de beruchte TorrentLocker-malware. Deze malware - die in veel landen duizenden systemen heeft geïnfecteerd - gijzelt bestanden en eist losgeld voor het weer beschikbaar stellen ervan.

Over het algemeen genomen openbaart TorrentLocker zich in kwaadaardige e-mails. Deze verwijzen naar een openstaande factuur, een pakketbezorging of een boete voor een niet betaalde bekeuring. Eenmaal actief op een systeem, probeert de malware het e-mailadresboek van de gebruiker uit te lezen en deze via dezelfde weg te infecteren. In sommige gevallen is de malware zelfs in staat om het mailaccount van de gebruiker te misbruiken en zo vanaf een legitieme bron nieuwe spam te versturen.

In een onderzoeksrapport beschrijft onderzoeker Marc-Étienne Léveillé hoe de TorrentLocker-malwarefamilie is geëvolueerd sinds de eerste waarneming in februari 2014. ESET noemt deze malware overigens Win32/Filecoder.DI. De makers zelf lijken de naam Racketeer voor hun creatie te gebruiken. Naarmate de tijd vorderde, is TorrentLocker verfijnder geworden en zijn taken geautomatiseerd. De malware is vernoemd naar een eigenschap van vroegere versies die een registersleutel met een verwijzing naar de BitTorrent-applicatie plaatsten.

Halen zonder betalen

In september hebben Finse onderzoekers van Nixu Oy een methode beschreven waarmee slachtoffers van TorrentLocker hun versleutelde bestanden konden herstellen, zonder de criminelen achter de aanval te betalen. Toen de criminelen zagen dat het mogelijk was de zogenaamde keystream uit te lezen, hebben ze direct een nieuwe versie uitgebracht, waarin de encryptiemethodiek is aangepast. Hiermee werd de achterdeur direct gesloten.

Een ander voorbeeld van de evolutie die TorrentLocker heeft ondergaan, is de automatisering van het betaalproces. Bij de eerste versies waren de slachtoffers genoodzaakt e-mails te versturen naar de criminelen die de malware beheren om een betaling te doen en decryptiesleutels op te vragen. Nu is dit volledig geautomatiseerd via een gebruikersvriendelijke betalingspagina die uitlegt hoe slachtoffers met Bitcoins moeten betalen om de decryptiesoftware te ontvangen.

Luiheid

Maar hoewel de malware verfijnder is geworden, lijkt het minder professioneel op andere gebieden. Sommige schermen die door TorrentLocker worden weergegeven, verwijzen naar CryptoLocker. Gaat het hier om luiheid bij de ontwikkelaars, of is het een bewuste poging om gebruikers te laten zoeken naar informatie over een ongerelateerde (maar niettemin roemruchte) malwarefamilie?

Verder lijkt de bende achter TorrentLocker niet geïnteresseerd in het maximaliseren van haar potentiele groep slachtoffers door wereldwijd toe te slaan. Onderzoekers van ESET hebben vastgesteld dat de spamcampagnes waarmee TorrentLocker verspreid wordt, zich alleen op specifieke landen hebben gericht. Zowel de spam, e-mails als websites waarnaar verwezen wordt, zijn per land gelokaliseerd. De lijst van landen die het doelwit waren van de kwaadaardige spamcampagne is opvallend door de uitzonderingen. De Verenigde Staten bijvoorbeeld, komen er niet in voor.

Openstaande factuur

Wat het onderzoeksrapport in elk geval heel duidelijk maakt, is dat de beloningen die voortvloeien uit de TorrentLocker-malware substantieel zijn. ESET’s onderzoek toont aan dat hoewel slechts 1,45 procent van de slachtoffers het losgeld daadwerkelijk betaalt (570 van de 39.670 geïnfecteerde systemen), de criminelen alsnog tussen de $ 292.700 en $ 585.401 in Bitcoins moeten hebben binnengehaald.

Gemiddeld heeft 1,45 procent van de gedupeerden betaald om de bestanden vrij te krijgen

Afgaande op de data die verzameld is van de command & control-servers van TorrentLocker blijkt dat maar liefst 284.716.813 documenten zijn versleuteld. De hoop is dat een meerderheid van de slachtoffers toegang heeft tot een recente en niet-geïnfecteerde back-up waarmee ze hun data ongeschonden kunnen terughalen.