Thiefquest Mac Ransomware und Entschlüsselung

Thiefquest ist der Name einer Ransomware-Sorte, die im Jahr 2020 die Runde machte. Die Malware wurde ursprünglich als Ransomware angesehen, da sie eine Warnmeldung anzeigt und eine Lösegeldnotiz fallen lässt. Eine genauere Analyse ergab jedoch, dass die Malware nicht gerade eine Ransomware, sondern ein Wischer ist.

Obwohl Thiefquest sowohl auf Windows- als auch auf Mac-Systemen eine Warnmeldung anzeigt und eine Lösegeldnotiz mit dem Namen READ_ME_NOW.txt auf dem Desktop ablegt und die Lösegeldnotiz eine Bitcoin-Brieftaschenzeichenfolge enthält, haben Sicherheitsforscher festgestellt, dass dieses Geld eher so ist eine Spende an die schlechten Schauspieler, die die Malware betreiben.

Die Analyse ergab, dass Thiefquest keine ordnungsgemäße Infrastruktur und keine soliden Identifikatoren hatte, mit denen es jemals identifizieren konnte, welches Opfer die Zahlung geleistet hatte.

Forscher glauben, dass der Lösegeldschein eher wie eine Nebelwand wirkt, um den eigentlichen Zweck der Malware zu maskieren - Datenexfiltration und Diebstahl.

Für MacOS-Systeme wird Thiefquest in gefälschten, mit Malware beladenen App-Installationsprogrammen verteilt, die sich als beliebte Apps wie Ableton Live und Mixed In Key ausgeben - seltsamerweise beide Anwendungen, die sich an Personen richten, die in der Musikproduktion arbeiten.

Nach der Bereitstellung auf dem Computer des Opfers begann Thiefquest mit der Verschlüsselung von Dateien und zeigte schließlich ein Popup-Fenster mit der Nachricht und dem Namen des Lösegeldscheins sowie der Zahlungsaufforderung von 50 US-Dollar an.

In der aktuellen Malware-Landschaft, in der Bedrohungsakteure auf Unternehmen und Organisationen im Wert von mehreren Millionen Dollar abzielen, scheinen Lösegeldforderungen in Höhe von 50 US-Dollar lächerlich, aber Ransomware wie Thiefquest ist kein gezieltes Angriffstool. Während die meisten modernen Ransomware-Betreiber ihre Ziele sorgfältig untersuchen und Präzisionsangriffe ausführen, wird Ransomware wie Thiefquest über böswillige Spam-Kampagnen oder online gehostete böswillige Downloads verbreitet.

Zusätzliche Untersuchungen haben gezeigt, dass der Code von Thiefquest keine Aufrufe seiner Entschlüsselungsroutine enthält. Daher gibt es praktisch keine Möglichkeit, verschlüsselte Dateien wiederherzustellen, indem Geld an die Ransomware-Betreiber gesendet wird.

Ein merkwürdiges Merkmal von Thiefquest ist, dass es tatsächlich nach ausführbaren Dateien sucht und ihnen bösartigen Code anfügt, was ihm ein virenähnliches Verhalten verleiht und es zu einem der wenigen virenähnlichen Malware-Stämme macht, die MacOS-Systeme betreffen.

Für Mac-Benutzer gibt es ein kostenloses Entschlüsselungs-Tool für Thiefquest, das online veröffentlicht wird. Das Tool wurde vom Cybersicherheitsunternehmen SentinelOne entwickelt und basierte darauf, eine Entschlüsselungsfunktion im Code der Malware zu finden. Sie können das Tool kostenlos online herunterladen und damit ein System entschlüsseln, das von der Thiefquest-Malware betroffen ist.