De makers van de ransomware hebben geleerd van de ondergang van de bende achter Cryptolocker. Curve-Tor-Bitcoin Locker (CTB-Locker, ook bekend als Critroni.A) gebruikt een andere versleutelingsmethode, cryptografie met eliptische krommen (ECC), vraagt om losgeld in bitcoins en de server die de sleutel levert kan enkel via Tor worden bereikt, zo meldt de Franse onderzoeker Kafeine.

Lees ook:

Nieuw botnet nauwelijks aan te pakken dankzij Tor Explosieve groei Tor veroorzaakt door groot botnet Waarom botnets de wapenwedloop winnen

Door die methode is het een stuk lastiger om de server te ontdekken en voor de autoriteiten om hem vervolgens neer te halen. Een grote internationale actie van antivirusbedrijven, softwareproducenten en opsporingsdiensten waaronder Europol pakte in mei een Gameover Zeus-botnet aan. Daarbij werd de bende die verantwoordelijk was voor het verspreiden van Cryptolocker opgepakt.

C&C-detectie te laat

Het verstoppen van malafide servers binnen Tor is niet nieuw, maar is blijkbaar wel aantrekkelijker geworden na opvallende arrestaties, zoals van Blackhole-maker Paunch en de Cryptolocker-bende. CTB-Locker beperkt C&C-communicatie door eerst lokaal te versleutelen en dan pas contact te zoeken. Dat maakt het lastiger voor een beveiligingsproduct om de communicatie te blokkeren, want op dat moment is het al te laat en is de data versleuteld.

Screenshot van de malware uit onderzoek van Kafeine.