Seltsame Begegnung: Auch Ransomware-Autoren sind nur Menschen

Daten, Code, Virtualisierung Bildquelle: Free for Commercial Use / Flickr
Die Offenlegung von Quellcodes ist seitens der Malware-Szene nicht besonders gern gesehen. Der Entwickler eines Ransomware-Tools, das als "Magic" bezeichnet wird, versuchte einen Sicherheitsforscher mit Zugeständnissen dazu zu bewegen, die Sourcen wieder offline zu nehmen.

Infografik: Malware-ZyklenMalware-Zyklen laut Microsoft
Bei dem Security-Spezialisten handelt es sich um Utku Sen aus der Türkei. Dieser wurde in der Sicherheits-Szene schlagartig ziemlich bekannt, als er die Quellcodes zweier Tools zum Generieren von Ransomware auf GitHub veröffentlichte. Die Analyse der Sourcen ermöglichte es Security-Forschern, verschiedene Schwachstellen in der Software ausfindig zu machen, berichtete das Magazin SoftPedia.

In einem der Tools, das als "Hidden Tear" bekannt ist, wurden so beispielsweise Schwächen in der Umsetzung der Verschlüsselungs-Algorithmen gefunden, mit denen Daten der Nutzer kodiert werden, damit es eine Grundlage für Erpressungsversuche gibt. Dies ermöglichte es, Daten zurückzuholen, ohne Geld an die Verbreiter der Ransomware für die Herausgabe der Schlüssel zu zahlen.

Beim zweiten Tool, das die Basis für die Magic-Familie bildet, wurde durch die Quellcode-Veröffentlichung hingegen klar, wie die Command-and-Controll-Infrastruktur hinter der Malware aufgebaut ist. So zeigte sich, dass die Kommunikation zwischen den betroffenen Rechnern und dem Kriminellen im Hintergrund über einen Server bei einem Gratis-Hoster läuft. Dieser wurde auf die Sache aufmerksam und löschte schlicht den Account. Dadurch gingen allerdings alle dort hinterlegten Schlüssel verloren, mit denen man die Daten auf den Rechnern der betroffenen Nutzer hätte wieder zurückholen können. Dumm gelaufen also - Sen entschuldigte sich für die daraus entstandenen Probleme und nahm den Quellcode erst einmal wieder offline.

Auch Kriminelle sind nur Menschen

Dann aber bekam die ganze Sache eine etwas merkwürdige Wendung, denn der Autor der Malware-Tools meldete sich. Es stellte sich heraus, dass er vor der Löschung seines Accounts noch ein Backup ziehen konnte. In einem Fall hatte er daraufhin sogar einen Schlüssel wieder herausgegeben, ohne von seinem Opfer eine Zahlung erhalten zu haben. Denn irgendwie habe ihm der Anwender dann doch leid getan, der durch die Ransomware die Fotos seines neugeborenen Sohnes verloren hatte.

Gegenüber Sen bot der Erpresser, der aus dem russischsprachigen Raum stammt, dann an, auch alle anderen Schlüssel ohne weitere Forderungen freizugeben. Im Gegenzug verlangte er von dem Sicherheitsforscher aber, dass dieser auch die Quellcodes des ersten Tools wieder von GutHub entfernt und ihm zumindest drei Bitcoin (die etwa 1.100 Euro wert sind) zukommen lässt. Nach einigem Hin und Her zeigte er sich sogar bereit, auf die Bitcoins zu verzichten.

Eine Verständigung scheiterte aber letztlich an den aktuellen politischen Spannungen zwischen Russland und der Türkei. "Als ich den Code anschaute, sah ich eine Menge russischer, Putin-freundlicher Kommentare", so der Security-Forscher. Da wurde er als Türke schon ziemlich zurückhaltend. Außerdem nahm er an, dass die Sache letztlich doch nicht so glatt laufen wird, wenn nun schon politische Dinge im Spiel sind. Er wolle daher seine Zeit nun lieber damit verbringen, weitere Schwachstellen in der Ransomware an sich zu finden. Daten, Code, Virtualisierung Daten, Code, Virtualisierung Free for Commercial Use / Flickr
Diese Nachricht empfehlen
Kommentieren9
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:50 UhrNAVISKAUTO Universal 10,1' Kopfstützenmonitor Kopfstütze Auto DVD Player Monitor Ultra Dünn TFT LCD Bildschirm mit IR Kopfhörer Unterstützt HDMI Funktion/ USB/ SD Games/ Fernbedienung ?CH1001B+Y0101S, Touch Taste
NAVISKAUTO Universal 10,1' Kopfstützenmonitor Kopfstütze Auto DVD Player Monitor Ultra Dünn TFT LCD Bildschirm mit IR Kopfhörer Unterstützt HDMI Funktion/ USB/ SD Games/ Fernbedienung ?CH1001B+Y0101S, Touch Taste
Original Amazon-Preis
139,99
Im Preisvergleich ab
?
Blitzangebot-Preis
114,74
Ersparnis zu Amazon 0% oder 25,25
Nur bei Amazon erhältlich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden