Rhysida-Ransomware: Schlechte Krypto ermöglicht Recovery-Tool
Cybercrime-Gruppen sind keineswegs technisch überragende Entwickler. Das zeigt sich aktuell bei der Rhysida-Ransomware. Sicherheitsforscher haben in dieser technische Mängel entdeckt, die die Herstellung eines Entschlüsselungstools ermöglichte.
Das Arbeitsergebnis der Experten ist die erste erfolgreiche Entschlüsselung des Ransomware-Stammes, der erstmals im Mai 2023 in Erscheinung trat. Das passende Wiederherstellungstool wird über die KISA vertrieben.
Eine gründliche Untersuchung des Innenlebens der Ransomware hat ergeben, dass sie die LibTomCrypt-Bibliothek für die Kryptographie und eine parallele Verarbeitung zur Beschleunigung des Prozesses verwendet. Außerdem wurde festgestellt, dass die Ransomware eine intermittierende Verschlüsselung einsetzt, um die Erkennung durch Sicherheitslösungen zu umgehen.
Den Fehler in der Umsetzung haben auch schon andere Sicherheits-Forscher wie Avast und das französische CERT gefunden. Diese vermieden es aber, damit an die Öffentlichkeit zu gehen und nutzten ihre Erkenntnisse nur für die Entschlüsselung von Systemen, um die Betreiber der Ransomware nicht über ihren Fehler zu informieren. Die Veröffentlichung durch KISA birgt so zwar ein Risiko, dass die Malware überarbeitet wird, bietet aber auch Nutzern eine Chance, die es sich erst einmal nicht leisten konnten, professionelle Sicherheits-Fachleute zu Hilfe zu holen.
Siehe auch:
Bug in der Krypto
"Durch eine umfassende Analyse der Rhysida-Ransomware haben wir eine Implementierungsschwachstelle identifiziert, die es uns ermöglicht, den von der Malware verwendeten Verschlüsselungsschlüssel zu regenerieren", so die Forscher der südkoreanischen Kookmin-Universität und der Korea Internet and Security Agency (KISA).Das Arbeitsergebnis der Experten ist die erste erfolgreiche Entschlüsselung des Ransomware-Stammes, der erstmals im Mai 2023 in Erscheinung trat. Das passende Wiederherstellungstool wird über die KISA vertrieben.
Eine gründliche Untersuchung des Innenlebens der Ransomware hat ergeben, dass sie die LibTomCrypt-Bibliothek für die Kryptographie und eine parallele Verarbeitung zur Beschleunigung des Prozesses verwendet. Außerdem wurde festgestellt, dass die Ransomware eine intermittierende Verschlüsselung einsetzt, um die Erkennung durch Sicherheitslösungen zu umgehen.
Zwei Wege
"Die Rhysida-Ransomware verwendet einen kryptografisch sicheren Pseudo-Zufallszahlengenerator (CSPRNG), um den Schlüssel zu erzeugen", so die Forscher. Allerdings erfolgt die Nutzung der Zufallszahlen dann nicht besonders schlau, sodass die Experten aus dem eingesetzten Verfahren automatisiert Rückschlüsse auf die Kryptokeys ziehen können.Den Fehler in der Umsetzung haben auch schon andere Sicherheits-Forscher wie Avast und das französische CERT gefunden. Diese vermieden es aber, damit an die Öffentlichkeit zu gehen und nutzten ihre Erkenntnisse nur für die Entschlüsselung von Systemen, um die Betreiber der Ransomware nicht über ihren Fehler zu informieren. Die Veröffentlichung durch KISA birgt so zwar ein Risiko, dass die Malware überarbeitet wird, bietet aber auch Nutzern eine Chance, die es sich erst einmal nicht leisten konnten, professionelle Sicherheits-Fachleute zu Hilfe zu holen.
Zusammenfassung
- Cybercrime-Gruppen technisch nicht immer überlegen
- Rhysida-Ransomware weist technische Mängel auf
- Südkoreanische Forscher entwickeln Entschlüsselungstool
- Erste erfolgreiche Entschlüsselung von Rhysida seit Mai 2023
- KISA vertreibt das Wiederherstellungstool für Opfer
- Ransomware nutzt LibTomCrypt und parallele Verarbeitung
- Fehlerhafte Nutzung eines CSPRNG ermöglicht Entschlüsselung
- Andere Forscher informierten Opfer, ohne die Lücke zu publizieren
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Antivirus:
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!