image

Eerste ransomware gemaakt in JavaScript ontdekt

zondag 3 januari 2016, 18:40 door Redactie, 10 reacties

Onderzoekers hebben de allereerste ransomware voor Windows ontdekt die volledig in JavaScript is gemaakt en met een aantal kleine aanpassingen ook op Mac- en Linuxcomputers kan werken. De ransomware heet Ransom32 en wordt als 'Ransomware as a Service' (Raas) aangeboden.

Via deze dienst kunnen cybercriminelen eenvoudig een eigen versie van de ransomware downloaden en verspreiden. De makers van Ransom32 geven afnemers het advies om niet al te hoge bedragen voor het ontsleutelen van versleutelde bestanden te vragen, omdat slachtoffers anders niet zullen betalen. Een kwart van het bedrag dat slachtoffers betalen gaat naar de makers. Bij het genereren van een Ransom32-versie kunnen cybercriminelen voor verschillende opties kiezen, zo meldt anti-virusbedrijf Emsisoft, dat de ransomware analyseerde.

Zo is er een optie die de ransomware bestanden laat versleutelen op een manier die weinig rekenkracht van de processor vraagt, zodat slachtoffers niet doorhebben dat er iets mis is, waarna er pas een waarschuwing wordt getoond. In deze waarschuwing staat dat de bestanden zijn versleuteld en er losgeld voor het ontsleutelen moet worden betaald. Een andere optie laat de waarschuwing juist als eerste zien, waarna het versleutelen pas begint.

NW.js

De ransomware zelf maakt gebruik van NW.js. Dit is een framework waarmee normale desktopprogramma's voor Windows, Linux en Mac OS X via JavaScript kunnen worden ontwikkeld. Het is gebaseerd op de populaire Node.js- en Chromiumprojecten. Waar JavaScript, niet te verwarren met Java, zich normaal binnen de browser bevindt en niet echt interactie met het systeem kan hebben, biedt NW.js meer controle en interactie met het onderliggende besturingssysteem. Daardoor kan de JavaScriptcode bijna alles wat andere programmeertalen zoals C++ of Delphi kunnen.

Het voordeel van NW.js is dat ontwikkelaars redelijk eenvoudig hun webapplicaties tot normale desktopprogramma's kunnen omzetten. Daarbij kan dezelfde JavaScriptcode op verschillende platformen worden gebruikt. Een NW.js-applicatie hoeft dus slechts een keer geschreven te worden en is daarna bruikbaar op Windows, Linux en Mac OS X. Dit houdt in dat Ransom32 in theorie ook voor Linux en Mac OS X kan worden aangepast. Op dit moment zijn er nog geen versies aangetroffen die op deze twee platformen werken.

Een ander voordeel van NW.js is dat het een legitiem framework is. Twee weken nadat de ransomware voor het eerst verscheen wordt die nog altijd slecht door anti-virussoftware herkend, aldus Emsisoft. Vooralsnog kunnen versleutelde bestanden niet worden ontsleuteld, zo meldt Bleeping Computer. De ransomware kan zich op verschillende manieren verspreiden, zoals e-mailbijlagen of drive-by downloads, afhankelijk waar de afnemers van de dienst voor kiezen.

Reacties (10)
03-01-2016, 19:29 door Anoniem
De nieuwe Flashback voor Mac OS X ?

Een NW.js-applicatie hoeft dus slechts een keer geschreven te worden en is daarna bruikbaar op Windows, Linux en Mac OS X. Dit houdt in dat Ransom32 in theorie ook voor Linux en Mac OS X kan worden aangepast. Op dit moment zijn er nog geen versies aangetroffen die op deze twee platformen werken.

FlashFake/Flashback malware voor Mac maakte een paar jaar geleden misbruik van het destijds voorgeïnstalleerde Java framework onder Mac OS X.
Inmiddels wordt Java al jaren niet meer (sinds Mac OS X Lion 10.7) voorgeïnstalleerd meegeleverd bij aanschaf van de Mac.
Java moet je zelf installeren.

Nou kan ik mij vergissen (NW.js zegt mij niet zoveel) maar een zoektochtje in de gauwigheid leert dat "NW.js" of het aangeroepen benodigde "Node.js" helemaal niet op een Mac staat voorgeïnstalleerd.
Dat betekent dat dit voor een standaard Mac Os X gebruiker niet direct een gevaar zou moeten opleveren omdat het dan eerst de betreffende .js frameworks zou moeten installeren.

Verder heb ik eigenlijk geen ervaring met software die extra installatie van Node.js vereist.
Lijkt me echt een developer aangelegenheid.

Zie ik dat verkeerd?
Wie?
03-01-2016, 19:58 door Anoniem
In een eerdere nog niet geplaatste post vroeg ik me af of dit alleen een developers probleem is die het node.js framework hebben geïnstalleerd.
Ik zie nu dat met het malware file dat maar liefst 22 mb groot is ook het node.js framework mee wordt geleverd en zich kennelijk automatisch kan uitpakken en activeren.

Emsisoft stelt
So a NW.js application only needs to be written once and is instantly usable on Windows, Linux and MacOS X.

This also means, that at least in theory, Ransom32 could easily be packaged for both Linux and Mac OS X.
Dat is wel heel snel meegenomen in de conclusie zonder het te onderbouwen.
Ik zie inderdaad wel een mogelijke route maar vraag mij dan nog steeds af of, waar, hoe en met welke rechten het node.js framework dan zou moeten draaien.
Voor installatie in een framework directory is admin permissie vereist.

Installeer je het lokaal dan zal de malware misschien alleen lokale rechten hebben om lokaal bestanden te encrypten, wat ook geen fijne gedachte is als je werkt en browst onder hetzelfde gewone user account.

Een oplossing daarvoor zou kunnen zijn dat je onder een ander account werkt dan dat je browst en dat je (niet onbelangrijk!) je shared directory tussen de accounts gaat dichtgooien door de shared directory alleen leespermissies te geven, dus de standaard algemene schrijfrechten er vanaf haalt.

Benieuwd wat Apple hier voor oplossing voor gaat bedenken en wanneer.
03-01-2016, 22:19 door [Account Verwijderd] - Bijgewerkt: 03-01-2016, 22:32
Dit was natuurlijk een kwestie van: je kon erop wachten.
Het internet geteisem zag de bui al hangen n.a.v. het in diskrediet komen van Adobe's Flash, dus het zoeken was naar een andere manier om met RansomWare mensen pootje te lichten.
Voor mij als gebruiker met een beetje kennis - letterlijk, ik ben geen specialist - van computer veiligheid alvast No-Script maar eens een reset naar default settings gegeven. Je moet wat hè... maar ach wat een zootje is het toch geworden in dat open riool genaamd Internet.
En dan: Java-script wordt zo algemeen toegepast, Ook de site Digid.nl wordt er door ondersteund.
Hier is dus een mooie taak weggelegd voor Mijn Overheid: Digid vrij van script of anders die verplicht gestelde berichtenbox (put) dempen totdat iedereen weet hoe hij/zij selectief scripting moet toestaan. Waarom? Mijn Overheid gaat er keihard vanuit dat iedereen een computer heeft. Die willen we dan ook blijven gebruiken om ook eens iets anders te doen dan inloggen bij DigiD (What's the Fun in that?) Dus in onze vrije tijd met dat ding dan alleen Free-cell spelen? Dan dansen de kaarten je na een uurtje of zo wel voor de ogen. Zodoende voor de afwisseling gaan we blote billen van zekere dames of heren begluren op sites waar malware glitches naar RansomWare in java-script straks schering en inslag zijn. Ja toch, of heeft niemand boter op zijn hoofd?... Maak dat de kat wijs... en Mijn Overheid. Zij denkt dat al die miljoenen berichtenbox 'verplicht gestelden' zo kuis zijn als Freule Cato in haar zes-laags onderjurk.
Mijn Overheid, neem adviezen van universitaire medewerkers eens meer serieus: https://www.security.nl/posting/418321/Hoogleraar%3A+internet+zal+altijd+kwetsbaar+blijven (Met name de laatste alinea is van toepassing)
Ps. Ik betrek dit security.nl topic van 12-02-2015 met name in deze context omdat het feitelijk niet uitmaakt of een overheid of een burger geschaad wordt door het gebruik van Internet)
03-01-2016, 22:25 door Anoniem
Door Anoniem:...
Inmiddels wordt Java al jaren niet meer (sinds Mac OS X Lion 10.7) voorgeïnstalleerd meegeleverd bij aanschaf van de Mac.
Java moet je zelf installeren.
Er is al jaren een groot verschil tussen Java (by Oracle) JRE en JavaSCRIPT (iedere browser incl. Safari).

M.b.t. tot het cross-OS verhaal:
Deze ransomware heeft nodig:
- Een stand-alone Tor-bestand (.exe)
- Een (puur-Windows) onderdeel van een programma genaamd Optimum X (shortcut.exe)
- Een HTML5 decoder (.dll)
- 2 vbs-scripts voor de malware-settings.
Een beetje makkeraar of distribioot weet dan dus gelijk dat dit geen bedreiging is voor hun OS, ook niet na een simpele herziening van de broncode.
Vooral de keuze voor .vbs voor de configuratie-bestanden doet vermoeden dat louter MS-OS het beoogde doelwit zijn.

Mijn conclusie is dan ook dat de ontwikkelaar (>90% een afgeperste IT-student) gewoon een klein beetje ervaring heeft met het programmeren van .js op Windows, meer niet.
Met cross-platform heeft het in ieder geval weinig (tot niets) van doen.


Dat gezegd hebbende, adware voor mobile is booming, malware voor IoT is een natte droom voor de bad guys en dit is de zoveelste stap in die richting. En .js zou daarbij een potent medium kunnen worden, dat dan weer wel.
04-01-2016, 00:10 door Anoniem
Het pakket nw.js roept node.js aan. Dat wil zeggen dat op een PC die aangevallen wordt node.js geinstalleerd moet zijn. Hoeveel (onervaren) gebruikers hebben node.js op hun PC?

Als een aanvaller ongemerkt een node.js-omgeving (editor + compiler) zou kunnen installeren, dan zou hij ook een omgeving voor een andere taal (bv Java) kunnen installeren en met een programma in die andere taal zou hij ook een aanval kunnen ondernemen. In die zin is dit risico niet speciaal aan Javascript gebonden.

Maar hoe kan een aanvaller ongezien node.js downloaden en installeren? De gebruiker moet wel erg onervaren zijn als hij een installatie van een onbekend pakket laat passeren. Zelf werk ik vrijwel altijd zonder admin rechten en vraagt een installatie mij om mijn admin wachtwoord, maar ook iemand met admin rechten wordt toch wel het een en ander gevraagd bij een installatie, al is het dan geen wachtwoord. Kortom, het beschreven risico lijkt mij zeer klein en het verhaal ruikt naar paniek zaaien over Javascript.
04-01-2016, 12:13 door Briolet
Door Aha: – alvast No-Script maar eens een reset naar default settings gegeven.

No-Script werkt alleen in een browser. Uit het artikel maak ik echter op dat het hier een zelfstandige applicatie betreft die op Java-Script gebaseerd is. Dit is gewoon een taal waarmee beginnende programmeurs beter uit de voeten kunnen dan objective-C of C++. Ook al omdat velen JS kennen uit hun ervaring met browsers.
04-01-2016, 16:01 door Mouzz
Deze malware heeft (volgens mij) niets met een browser of met websites te maken. De malware is in javascript geschreven, maar deze javascript wordt niet in een browser uitgevoerd, maar door Node.js. Het is dus inderdaad zo dat er eerst een manier moet worden gevonden om toegang tot de computer te krijgen en de benodigde malware zelf te installeren (incluis Node.js)

Waar het om gaat is dat de malware zelf in javascript geschreven is en daarmee platformonafhankelijk is, aangezien Node.js op meerdere platformen geïnstalleerd kan worden.
Een bericht met als titel "Eerste ransomware gemaakt in Java ontdekt" zou technisch gezien vrijwel dezelfde impact hebben.
04-01-2016, 17:56 door Anoniem
Door Anoniem:
Door Anoniem:...
Inmiddels wordt Java al jaren niet meer (sinds Mac OS X Lion 10.7) voorgeïnstalleerd meegeleverd bij aanschaf van de Mac.
Java moet je zelf installeren.
Er is al jaren een groot verschil tussen Java (by Oracle) JRE en JavaSCRIPT (iedere browser incl. Safari).
Lees de reactie nog een van degene waarop je reageert en je zult (hopelijk) zien dat die persoon om heel andere reden Java als platform aanhaalde en vergeleek met deze Javascript aanval.

Met welk OS je zelf bekend bent wordt niet geheel duidelijk, desondanks voel ik er weinig voor tot in detail te gaan discussieren hoe dit voor Mac OS X werkbaar te krijgen, wat wellicht in de basis inclusief componenten best kan maar dan nog niet de hobbels heeft genomen binnen de securitylagen van Mac OS X.
Als men de kunst zou afkijken van de eerdere succesvolle Java based aanval komt men wellicht al wel een eindje.

Het kan best zijn dat wederom de markt het niet oppikt omdat de userbase van Windows veel aantrekkelijker is om zich op te richten.
05-01-2016, 11:32 door Anoniem
Op Windows wordt 'node.js', volgens mij, meegeïnstalleerd met Photoshop en mogelijk meer grotere Adobe producten. Ik verwacht, dat dit op OS X net heel anders zal zijn. Helaas wordt deze software, ook omdat deze niet op de standaard locatie staat, niet standaard geupdate. Bovendien lijkt ook Adobe niet altijd de laatste versie mee te nemen. Ondanks dat ik via de Creative Cloud altijd de laatste versie Photoshop heb, geeft Secunia vaak aan, dat mijn 'node.js' nog verouderd is. Dit betekent, dat waarschijnlijk meer mensen kwetsbaar zullen zijn voor deze malware, dan dat er hier gedacht lijkt te worden.
05-01-2016, 13:23 door Anoniem
Door Aha: Dit was natuurlijk een kwestie van: je kon erop wachten.
Het internet geteisem zag de bui al hangen n.a.v. het in diskrediet komen van Adobe's Flash, dus het zoeken was naar een andere manier om met RansomWare mensen pootje te lichten.
Er moet nog steeds een executable uitgevoerd worden, door de gebruiker dan wel een lek in een browser plugin zoals Flash.

Het gevaarlijkste aan dit beestje is dat het niet herkend wordt door anti-virus scanners.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.