Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Kirk-ransomware met Star Trek-thema vermomt zichzelf als ddos-tool

Door , 21 reacties

Avast-beveiligingsonderzoeker Jakub Kroustek heeft een ransomwarevariant ontdekt die zich voordoet als een ddos-tool. De kwaadaardige software is voorzien van een Star Trek-thema en is de eerste ransomware die betaling vraagt in de Monero-valuta.

Hoewel de ransomware volgens Bleeping Computer nog geen slachtoffer gemaakt schijnt te hebben, heeft de malware enkele opvallende eigenschappen. Zo doet deze variant zich voor als een ddos-tool met de naam 'low orbit ion cannon', oftewel Loic, die in het verleden werd ingezet om ddos-aanvallen uit te voeren. De voornaamste gebruiker van de tool was de groepering Anonymous, die mensen in het gebruik van de tool instrueerde. Later zou blijken dat Loic de identiteit van de gebruiker prijsgaf, die zijn computer gebruikte als onderdeel van een aanval.

Daarnaast vraagt de Kirk-ransomware betaling via de Monero-cryptovaluta. Normaal gesproken is bitcoin het aangewezen betaalmiddel bij ransomware, maar de ontwikkelaars van deze variant gingen daar niet in mee. Het is onduidelijk waarom voor deze optie is gekozen, omdat slachtoffers vaak al moeite hebben om een betaling via bitcoin uit te voeren, merkt Bleeping Computer op. Een ander opvallend element is dat de ransomware vermeldt dat vooral bestanden die gerelateerd zijn aan games worden versleuteld. Zo richt de malware zich bijvoorbeeld op wotreplay- en unity3d-bestandsextensies.

Het Star Trek-thema komt op verschillende manieren terug in de ransomware. Zo worden versleutelde bestanden voorzien van de bestandsextensie 'kirked', als verwijzing naar het personage Kirk. Het decryptieprogramma draagt dan weer de naam 'Spock'.

Sander van Voorst

Nieuwsredacteur

Reacties (21)

Wijzig sortering
Eerlijk gezegd vind ik dit dan een relatief constructieve manier van malware, namelijk voor mensen die zelf de intentie hebben om vervelende dingen uit te halen. Ik denk ook wel dat dit soort dingen misschien nog wel beter werken dan zo veel mogelijk servers inzetten om een DDOS aanval af te slaan. (uiteraard moet het allebei, maar het kan een stap zijn richting het verminderen van dit soort aanvallen door aanvallers zelf erg kwetsbaar te maken, vooral diegene die te weinig kennis van zaken hebben (en ook te weinig inzicht hebben in de impact van hun daden).
Ik besef dat je daarmee niet alles oplost, maar als je al een groot gedeelte van roekeloze DDOSers kunt uitschakelen blijven er meer doelgerichte acties over waardoor het misschien makkelijker is om vanuit het perspectief motief te kunnen onderzoeken. Maar misschien ben ik wel naief. Het is in ieder geval "inventief" en niet een traditionele manier van achter de feiten aanlopen.
Je kan een dergelijke tool ook zonder verkeerde intentie gebruiken, bijv om je eigen systemen te testen.
Ik neem aan dat je dergelijke testen ook met test-ddos machines doet.. in deze situatie in ieder geval eentje zonder game bestanden. :)

vind het sowieso raar om game bestanden aan te vallen, enige wat je niet kan vervangen met een herinstallatie is je savegame.. hoeveel monero is die je waard??
test-ddos machines. Mkay.
Je wilt in vele gevallen niet perse de load testen, maar soms ook daadwerkelijk de beschikbare tools die gebruikt worden. Vooral als je gewoon niet weet wat voor type requests het zijn of dat je de exacte signature van zo'n aanval wilt weten.
Ja, want onbekende tools test je in een test omgeving in plaats van hersenloos te installeren op je pc.

Loic testen is pure tijdsverspilling, loic is kinderspeelgoed in vergelijking met tools als Txxxxxi of Sxxxxm stelt loic geen ene reet voor en is volgens mij puur uitgebracht om backdoors te verspreiden onder "hackers"

Als je per sť iets als loic wil testen kun je ook een VM aanmaken en wireshark o.i.d. gebruiken om het verkeer te analyseren, kun je nat het testen ook de troep verwijderen zonder je OS te verpesten.
Daar komt nog eens bij dat het gros van de script kiddies die deze tooling gebruikt zijn virusscanner uitgeschakeld heeft. Het is dus geniaal om juist daar ransomware in te stoppen.
Waarom Monero? Nou onder andere doordat het "anoniemer" is dan Bitcoin. Je kan namelijk niet een transactie volgen via de blockchain dat A een bepaald "bedrag" aan B geeft omdat men CryptoNote heeft ingezet. Daarnaast kan je er wel gewoon mee betalen op een aantal darknet plekken...
https://www.deepdotweb.co...ccepting-monero-payments/
Stiekem vind ik het wel grappig, zo'n boze puber die met een ddos tooltje zijn vmbo site wil platleggen... Karma can be quick. :)
Pubers met Kirk-Kennis. Elaborate. Unpossible. Does not compute.
Unpossible ja?? :9 dat is pas impossible :D

[Reactie gewijzigd door Pim0377 op 17 maart 2017 18:05]

It's life Jim, but not as we know it.
It's worse Jim, it's dead!
Die krijgen ze ook pas als ze dit "tooltje" willen gebruiken. :)
Dat deed ik vroeger ook, ik was erg boos maar kon nog niet ddossen dus toen heb ik ze maar ouderwets geddos'd en heel veel pakketjes onder rembours besteld.
Op zich worden er dan toch geen belangrijke (onvervangbare) bestanden versleuteld?
Dan is het wel zeer geinig: het is ofwel veel werk om alles te herinstalleren of kostelijk om te laten ontsleutelen. En 90% van de mensen die deze tool willen draaien, zullen dit met opzet en slechte bedoelingen doen.

Ik ga het niet toejuichen, maar als dat het doel is van het hele programma, dan ga ik er ook niet tegen protesteren :+
Dit is puur een reclame stunt van Monero niks anders.

(niet perse van het team maar iemand die wat coins heeft.)

[Reactie gewijzigd door Sonicsurfer op 17 maart 2017 19:26]

Ik snap deze zin niet zo goed:
. Een ander opvallend element is dat de ransomware vermeldt dat vooral bestanden die gerelateerd zijn aan games worden versleuteld. Zo richt de malware zich bijvoorbeeld op wotreplay- en unity3d-bestandsextensies.
Bestanden worden versleuteld of niet toch, er is niet iets van "dat bestand wordt extra hard versleuteld". Of gaat het erom dat deze bestanden normaal niet versleuteld worden (alleen .doc enzo) en nu wel?
Waarom geen Star Wars? Darth Vader lijkt mij slechter of niet haha!

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*