CryptoLocker ransomware intelligence report

In the beginning of September 2013, the CryptoLocker malware variant appeared in the wild, spread exclusively by the infamous P2P ZeuS (aka Gameover ZeuS) malware. CryptoLocker had a simple purpose: to act as ransomware, encrypting important files such as images and documents, and then asking the victim for money to unlock the files.

CryptoLocker warning
Image source: Ars Technica

In collaboration with FireEye, InTELL analysts at Fox-IT worked on the investigation. By the end of 2013, certain groups that were focused on online banking fraud, were moving to less risky attacks, such as ransomware, click fraud, and crypto coin mining. All of these attack types pose lower risk to the criminals compared to online banking attacks. P2P ZeuS was one of these groups.

US Law Enforcement led a joint operation from the 30th of May 2014, leading to a long term disruption of both P2P Zeus and CryptoLocker. A detailed description of the operation is available here.

CryptoLocker used AES symmetric cryptography to encrypt the files and encrypted the AES key with an RSA-2048 bit public key generated on the server side of CryptoLocker. For each infection a new RSA asymmetric key pair was generated on the CryptoLocker server. This rendered files impossible to recover for CryptoLocker victims on their own. To recover files, the malware offered victims the option to purchase the required RSA-2048 private key. The CryptoLocker authors began charging victims 100 USD in September 2013 to recover their files, and by May 2014, were charging victims 500 USD for recovery.

Not every computer infected with P2P ZeuS malware became infected with CryptoLocker. The reason for this is that CryptoLocker ran on victim machines alongside P2P ZeuS malware, which was used to commit financial fraud. In order for P2P ZeuS to be successful, a victim had to remain unaware that his/her system was compromised. Therefore, only a handful of P2P ZeuS botnets within the full P2P ZeuS network installed CryptoLocker. From September 2013 through May 2014, over half a million (545,146) infections occurred. This is much less than the amount of infections of P2P ZeuS over the same period.

Of the botnets distributing CryptoLocker, infections were mostly limited to victims located in the US, Canada, UK and Australia. These regions were most likely selected for their use of English as the primary language. This is shown in the heat map below – with over 60% of the CryptoLocker infections located in the US.

Global-Infection-Rate-Cryptolocker

While CryptoLocker infections started in the beginning of September 2013, the largest number of infections in one month occurred during October 2013, with over 155000 systems affected worldwide. This accounts for nearly 29% of all infections between September and May 2014. After October 2013 the rates dropped, but still steadily pacing at around 50,000 infections per month.

infections-per-month
The CryptoLocker infrastructure was separate from the P2P ZeuS infrastructure. It used a fast-flux network offered by a bulletproof hoster and a service hidden in the TOR network. These two channels were terminated on a proxy system that lead directly to the backend system, allowing victims to pay the ransom even though the fast flux network experienced various disruptions by security researchers.

The majority of victim payments to CryptoLocker were processed through Moneypak, but also a considerable amount of money was paid through the use of Bitcoins. A new Bitcoin address was created for each infection, making it harder for researchers to track and easier for CryptoLocker operators to distinguish transactions. In total, over 1400 Bitcoins (1407.24575477 BTC, around 700,000 USD in current exchange rates) were received. That is more than the 1388 BTC the malware requested, apparently some victims tried to transfer partial amounts. Unfortunately for them these lower amounts were lost for them and they added a small bonus for the criminals. A small number of early payments were received via Paysafecard and Ukash. In total, the amount of money made during the 9 month CryptoLocker operation was around 3 million USD. This accounts for the fluctuating Bitcoin exchange rate over time.

Payments-Cryptolocker
In the end, 1.3% of victims paid a CryptoLocker ransom, therefore, a large amount of victims likely permanently lost files due to this attack. Fox-IT InTELL and FireEye provide a free service to victims, to recover the private keys associated to CryptoLocker infections. This was announced on August 6 2014, in this press release. This gives CryptoLocker victims the ability to recover their files and restore the contents.

A big thank you to Kyrus tech for their tool Cryptounlocker. And finally we wish to thank Surfright for their assistance by providing encrypted files they generated using CryptoLocker.

Michael Sandee

Links:

http://www.fireeye.com/
http://www.fox-it.com/
http://www.foxintell.com
https://www.decryptcryptolocker.com/
http://www.fbi.gov/news/pressrel/press-releases/u.s.-leads-multi-national-action-against-gameover-zeus-botnet-and-cryptolocker-ransomware-charges-botnet-administrator
http://www.kyrus-tech.com/cryptolocker-decryption-engine/
http://www.surfright.nl/en
http://arstechnica.com/security/2013/10/youre-infected-if-you-want-to-see-your-data-again-pay-us-300-in-bitcoins/
http://www.fireeye.com/news-events/press-releases/read/fireeye-and-fox-it-announce-new-service-to-help-cryptolocker-victims

Over het CDA en het bestraffen van gebruik van crypto

Nieuwe opsporingsmethoden hard nodig, maar dan wel de goede. Blijf van crypto af!

Gisteren voerde de tweede kamer een debat met minister Opstelten over Cyber Security in Nederland. Aanleiding was de in februari gepubliceerde Nationale Cyber Security Strategie. Die strategie moet Nederland helpen om digitaal veilig te worden. Over de strategie zelf heb ik al eerder geschreven. Het CDA heeft bij monde van Coşkun Çörüz gevraagd om nieuwe wetgeving rondom het gebruik van encryptie in bepaalde strafzaken. Als voorbeeld noemde hij het verhogen van de strafmaat als een verdachte zijn wachtwoorden niet wil afgeven. Als we Nederland werkelijk digitaal veilig willen maken, zou de overheid juist dit soort technologie moeten aanmoedigen. Wetgeving over het gebruik van cryptografie bereikt juist het tegenovergestelde. Daarnaast zou de politie geholpen zijn bij andere bevoegdheden om dit soort zaken wel effectief te kunnen aanpakken.

Aanleiding voor het CDA om met dit verzoek te komen is de zaak van Robert M. Robert wordt verdacht van het misbruik van vele kinderen. In zijn huis zijn beveiligde computers aangetroffen waarvan de politie de beveiliging niet kon doorbreken. Gelukkig heeft de verdachte uiteindelijk zelf zijn wachtwoord(en) afgegeven zodat de politie toch met het onderzoek verder kon.

In de wereld van kinderpornografie komen we heel veel cryptografie tegen. Deze pedofielen hebben een enorm hoog security bewustzijn. Ze schrijven goede handleidingen over hoe je jezelf moet beveiligen. Vaak gaat dat niet eens om beveiliging tegen de politie maar willen ze zichzelf ook niet prijsgeven aan familieleden die mogelijk van dezelfde computers gebruik maken. In deze handleidingen wordt verwezen naar goede software, en er zitten ook goede instructies bij. Bijvoorbeeld over hoe je een ‘sterk’ wachtwoord kiest. De tools zijn eenvoudig te vinden, makkelijk in gebruik en vaak nog gratis ook. Daarom worden ze niet alleen door de bad guys gebruikt, maar is bijvoorbeeld ook de laptop waar ik dit op schrijf versleuteld met precies hetzelfde programma dat Robert M. gebruikte.

De gebruikte software in combinatie met sterke wachtwoorden maakt het uiteindelijk ondoenlijk voor de politie om de versleutelde gegevens weer zichtbaar te maken. De politie staat er trouwens niet alleen voor. Ze kunnen een beroep doen op het NFI dat op dit gebied heel hoog aangeschreven staat. Toch zal het hen ook niet lukken, ongeacht hoeveel wiskundigen ze zullen aannemen of hoeveel kraakcomputers worden aangeschaft.

Wat hebben we nu al geregeld met sleutels en wachtwoorden in onze wetgeving? Op dit moment kan de politie in het kader van een strafrechtelijk onderzoek aan een ieder die een sleutel bezit afdwingen om deze af te geven. Ze mogen dit verlangen van zowel individuen als ook bedrijven. Alleen de verdachte zelf hoeft zijn sleutel niet af te geven. Dat is omdat we in Nederland een belangrijk uitgangspunt hanteren: De verdachte hoeft niet mee te werken aan zijn eigen veroordeling. Het CDA snapt ook wel dat we daar niet zo snel vanaf kunnen stappen, maar zoekt het in bijvoorbeeld een zwaardere straf omdat een verdachte zijn wachtwoord niet prijsgeeft. Ik neem aan dat de #whiskeyleaks juristen hier nog wel meer over zullen schrijven.

Een ander argument waarom dit een heel slecht idee is, hebben we aan Julian Assange te danken. Hij is namelijk een van de founding fathers van het concept Deniable Encryption. Een toepassing van deniable encryption werkt als volgt. Ik heb mijn harde schijf versleuteld. Als ik wil inloggen om gewoon mijn werk te doen type ik wachtwoord A in. Op verschillende luchthavens kan je gevraagd worden om een werkende laptop te tonen, en verlangen de security mensen daar ter plekke dat je je wachtwoord invoert. Natuurlijk wil ik niet dat die mensen mijn vertrouwelijke gegevens kunnen zien, en dan heb ik de mogelijkheid om wachtwoord B in te typen. Als ik dat doe, start ook keurig mijn laptop op, en zal je een versie Windows installatie tegenkomen. Daarin staan dus totaal geen vertrouwelijke gegevens. Wat nu zo aardig is van deniable encryption is dat je zonder kennis van de wachtwoorden totaal niet kan bewijzen dat er nog meer informatie op de harde schijf staat. Als het beveiligingsprogramma goed geschreven is, dan kunnen zelfs die knappe koppen bij het NFI het niet bewijzen. Als een verdachte dus niet op een andere manier verklapt aan de politie dat er nog meer geheimen op zijn computer staan, zal het nooit bewezen kunnen worden.

Het thema van het debat in de kamer ging over Nationale Veiligheid en in het bijzonder de cyber security strategie. Het doel van de strategie is om Nederland digitaal weerbaarder te maken. Een heel goed hulpmiddel daarbij is de inzet van cryptografie. Dat is ook waarom ik het zelf zo graag gebruik. En omdat ik het veel gebruik heb ik ook wel eens een beveiligde hardeschijf rondslingeren waarvan ik werkelijk het wachtwoord vergeten ben. We moeten toch niet een situatie creeren waarbij mensen bang worden om hun gegevens te beveiligen voor het geval ze ooit verdachte worden. Want gaat die politieman bij het verhoor geloven dat ik echt mijn wachtwoord vergeten ben?

Gelukkig zijn de meeste criminelen dom en laten ze zo veel sporen achter dat de politie toch al genoeg heeft om een zaak rond te krijgen. De groep van kinderporno liefhebbers is echter een bijzondere. Zij zijn vaak heel handig met computers en weten precies hoe je het de politie zo moeilijk mogelijk maakt. En ze hebben dan ook nog de discipline om zich daaraan te houden. Daarom is het van belang dat de politie de ruimte krijgt om in die gevallen goed onderzoek te doen. Dat kan bijvoorbeeld door de politie de bevoegdheid te geven om in kinderporno groepen te infilteren of te hacken. Jammer dat het CDA de minister daar niet nog een keer op heeft gewezen.