Die Motive des mutmasslichen Ransomware-Entwicklers sind nicht klar.Bild: Shutterstock
Analyse
Gleich für drei Verschlüsselungstrojaner hat ein Unbekannter angeblich freiwillig die General-Schlüssel herausgerückt. Der überraschende Schritt dürfte allerdings für die meisten Opfer zu spät kommen.
10.02.2022, 13:5411.02.2022, 09:05
Es kommt selten vor, doch manchmal gibts auch gute Nachrichten aus der Ransomware-Szene. Es geht also um die Schadprogramme (Malware), die von Online-Kriminellen in fremde Netzwerke eingeschleust werden, um wertvolle Daten zu verschlüsseln und die Opfer zu erpressen.
Nun sind die «Generalschlüssel» für einige der einstmals schlimmsten Malware-Attacken in einem allgemein zugänglichen Diskussions-Forum veröffentlicht worden. Das bedeutet, dass vermeintlich unwiderruflich verschlüsselte Dateien doch noch «befreit» werden können.
Um welche Ransomware geht es konkret?
Maze, Egregor und Sekhmet.
Das sind die Namen von drei Windows-Schadprogrammen, die sehr wahrscheinlich vom gleichen Entwickler stammen und die ab 2019 unzählige Opfer weltweit betrafen.
Muss man die kennen?
Wer die oben erwähnten Ransomware-Schadprogramme nicht kennt, kann sich glücklich schätzen. Für die vielen Opfer der entsprechenden Verschlüsselungs-Attacken bedeuteten die Namen hingegen beträchtliche Umtriebe bis hin zu (vermeintlich) unwiderruflichem Datenverlust.
2020 machte Maze laut IT-Sicherheitsexperten fast 50 Prozent aller bekannten Ransomware-Fälle aus.
Auf grosses Interesse stiess hierzulande ein Angriff auf den französischen Baukonzern Bouygues Construction, der nach einem Angriff auch in den schweizerischen Tochtergesellschaften die Produktion unterbrechen musste. Späte erwischte es auch die Techkonzerne Canon, LG und Xerox.
Der angebliche Entwickler der Malware sagt, das ganze Team habe aufgehört.screenshot: bleeping computer
Erstmals in Erscheinung trat Maze im Mai 2019. Dann erlangte der Verschlüsselungs-Trojaner schnell eine beachtliche «Berühmtheit» wegen der damit verbundenen Datendiebstähle und einer damals neuen Vorgehensweise der Kriminellen, die doppelte Erpressung («Double Extortion») genannt und heute von vielen Ransomware-Banden angewendet wird: Vor dem Verschlüsseln des Opfer-Netzwerks stehlen sie wertvolle Dateien und drohen damit, diese zu veröffentlichen.
Die Kriminellen hinter Maze gaben im Oktober 2020 das Ende ihrer Operationen bekannt. Was allerdings nicht mehr als ein Täuschungsversuch war. Denn sie benannten sich einfach in Egregor um. Bis schliesslich auch dies endete, nachdem Mitglieder in der Ukraine verhaftet werden konnten.
Die Sekhmet-Operation war laut den Szene-Kennern von Bleeping Computer «so etwas wie ein Ausreisser», da sie im März 2020 startete, während Maze noch aktiv war.
Was können Betroffene tun?
Sie sollten sich an den IT-Experten ihres Vertrauens wenden, um verschlüsselte Dateien entschlüsseln zu lassen. Dies sollte dank der General-Schlüssel nun möglich sein.
Emsisoft hat einen Entschlüsseler veröffentlicht, mit dem alle wartenden Maze-, Egregor- und Sekhmet-Opfer ihre Dateien kostenlos wiederherstellen können.
Zwei Experten der IT-Sicherheitsfirma hatten zuvor die Entschlüsselungsschlüssel laut Bleeping Computer überprüft und bestätigt, dass sie legitim seien und zum Entschlüsseln von Dateien verwendet werden können, die von den drei Ransomware-Familien verschlüsselt wurden.
Um den Entschlüsseler verwenden zu können, benötigen die Opfer allerdings die ursprüngliche Lösegeldforderung, die während des Angriffs erstellt wurde, heisst es.
Warum wurde das jetzt veröffentlicht?
Die Motive sind unklar.
Der mutmassliche Ransomware-Entwickler, der die Schlüssel über ein Online-Forum veröffentlicht hat, behauptet, es habe nichts mit den jüngsten Strafverfolgungs-Operationen zu tun, die zur Beschlagnahmung von Servern und Verhaftung von Ransomware-Kriminellen in Osteuropa führten.
Weiter heisst es, dass keines der Teammitglieder jemals zu Ransomware zurückkehren werde und dass sie den gesamten Quellcode ihrer Ransomware zerstört hätten.
Quasi als Zückerchen für IT-Sicherheitsexperten enthält das von dem unbekannten Entwickler veröffentlichte Archiv auch den Quellcode für ein Schadprogramm, das von Maze entwickelt und früher bei Angriffen verwendet wurde.
Opfer einer Ransomware-Attacke? Darum sollten Betroffene nicht bezahlen
Das Nationale Zentrum für Cybersicherheit NCSC rät von der Zahlung eines Lösegeldes ab und warnt: «Es gibt keine Garantie, dass die Verbrecher nach der Bezahlung des Lösegelds die Daten nicht doch veröffentlichen oder anderen Profit daraus schlagen. Zudem motiviert jede erfolgreiche Erpressung die Angreifer zum Weitermachen, finanziert die Weiterentwicklung der Angriffe und fördert deren Verbreitung.»
Sollten Opfer dennoch das Bezahlen von Lösegeld in Erwägung ziehen, empfiehlt das NCSC dringend, diese Schritte mit der Kantonspolizei zu diskutieren.
Auf der Webseite https://www.nomoreransom.org/ gibt es Tipps, um die Schadsoftware zu identifizieren und die Möglichkeit, bereits bekannte Schlüssel herunterzuladen. Nomoreransom.org ist ein gemeinsames Projekt der niederländischen Polizei und von Europol, an dem sich auch die Schweizerische Eidgenossenschaft beteiligt.
Quellen
23 der lustigsten Tinder-Profile, die du je gesehen hast
1 / 26
23 der lustigsten Tinder-Profile, die du je gesehen hast
Swipe left, dann geht's los …
Fünf Schweizer TikToker erzählen, wie sie mit Hass im Internet umgehen
Video: watson
Das könnte dich auch noch interessieren:
Die Erwartungen an ein entsprechendes KI-Tool waren hoch. Viel zu hoch, wie eine aktuelle Studie zeigt.
Sind erfahrene Software-Entwickler schneller, wenn sie bei ihrer Arbeit ein geeignetes KI-Programmier-Tool verwenden?
Der nächste Krieg wird virtuell geführt - nicht physisch. Wir benötigen vom Bund dringend ein bombensicheres IT System und genügend Spezialisten, evtl auf Kosten von weniger Panzer und Jets? Ich hoffe wir können irgendwann darüber abstimmen :-)