Es kommt selten vor, doch manchmal gibts auch gute Nachrichten aus der Ransomware-Szene. Es geht also um die Schadprogramme (Malware), die von Online-Kriminellen in fremde Netzwerke eingeschleust werden, um wertvolle Daten zu verschlüsseln und die Opfer zu erpressen.
Nun sind die «Generalschlüssel» für einige der einstmals schlimmsten Malware-Attacken in einem allgemein zugänglichen Diskussions-Forum veröffentlicht worden. Das bedeutet, dass vermeintlich unwiderruflich verschlüsselte Dateien doch noch «befreit» werden können.
Maze, Egregor und Sekhmet.
Das sind die Namen von drei Windows-Schadprogrammen, die sehr wahrscheinlich vom gleichen Entwickler stammen und die ab 2019 unzählige Opfer weltweit betrafen.
Wer die oben erwähnten Ransomware-Schadprogramme nicht kennt, kann sich glücklich schätzen. Für die vielen Opfer der entsprechenden Verschlüsselungs-Attacken bedeuteten die Namen hingegen beträchtliche Umtriebe bis hin zu (vermeintlich) unwiderruflichem Datenverlust.
2020 machte Maze laut IT-Sicherheitsexperten fast 50 Prozent aller bekannten Ransomware-Fälle aus.
Auf grosses Interesse stiess hierzulande ein Angriff auf den französischen Baukonzern Bouygues Construction, der nach einem Angriff auch in den schweizerischen Tochtergesellschaften die Produktion unterbrechen musste. Späte erwischte es auch die Techkonzerne Canon, LG und Xerox.
Erstmals in Erscheinung trat Maze im Mai 2019. Dann erlangte der Verschlüsselungs-Trojaner schnell eine beachtliche «Berühmtheit» wegen der damit verbundenen Datendiebstähle und einer damals neuen Vorgehensweise der Kriminellen, die doppelte Erpressung («Double Extortion») genannt und heute von vielen Ransomware-Banden angewendet wird: Vor dem Verschlüsseln des Opfer-Netzwerks stehlen sie wertvolle Dateien und drohen damit, diese zu veröffentlichen.
Die Kriminellen hinter Maze gaben im Oktober 2020 das Ende ihrer Operationen bekannt. Was allerdings nicht mehr als ein Täuschungsversuch war. Denn sie benannten sich einfach in Egregor um. Bis schliesslich auch dies endete, nachdem Mitglieder in der Ukraine verhaftet werden konnten.
Die Sekhmet-Operation war laut den Szene-Kennern von Bleeping Computer «so etwas wie ein Ausreisser», da sie im März 2020 startete, während Maze noch aktiv war.
Sie sollten sich an den IT-Experten ihres Vertrauens wenden, um verschlüsselte Dateien entschlüsseln zu lassen. Dies sollte dank der General-Schlüssel nun möglich sein.
Emsisoft hat einen Entschlüsseler veröffentlicht, mit dem alle wartenden Maze-, Egregor- und Sekhmet-Opfer ihre Dateien kostenlos wiederherstellen können.
Zwei Experten der IT-Sicherheitsfirma hatten zuvor die Entschlüsselungsschlüssel laut Bleeping Computer überprüft und bestätigt, dass sie legitim seien und zum Entschlüsseln von Dateien verwendet werden können, die von den drei Ransomware-Familien verschlüsselt wurden.
Um den Entschlüsseler verwenden zu können, benötigen die Opfer allerdings die ursprüngliche Lösegeldforderung, die während des Angriffs erstellt wurde, heisst es.
Die Motive sind unklar.
Der mutmassliche Ransomware-Entwickler, der die Schlüssel über ein Online-Forum veröffentlicht hat, behauptet, es habe nichts mit den jüngsten Strafverfolgungs-Operationen zu tun, die zur Beschlagnahmung von Servern und Verhaftung von Ransomware-Kriminellen in Osteuropa führten.
Weiter heisst es, dass keines der Teammitglieder jemals zu Ransomware zurückkehren werde und dass sie den gesamten Quellcode ihrer Ransomware zerstört hätten.
Quasi als Zückerchen für IT-Sicherheitsexperten enthält das von dem unbekannten Entwickler veröffentlichte Archiv auch den Quellcode für ein Schadprogramm, das von Maze entwickelt und früher bei Angriffen verwendet wurde.
Der nächste Krieg wird virtuell geführt - nicht physisch. Wir benötigen vom Bund dringend ein bombensicheres IT System und genügend Spezialisten, evtl auf Kosten von weniger Panzer und Jets? Ich hoffe wir können irgendwann darüber abstimmen :-)