Hacker-Eigentor: Ransomware liefert Schlüssel versehentlich gleich mit
Die pro-russische Hackergruppe CyberVolk meldet sich zurück. Ihr neues Ransomware-as-a-Service-Angebot VolkLocker wird über Telegram vertrieben. Doch den Kriminellen ist ein peinlicher Fehler unterlaufen, der Opfern die kostenlose Datenrettung ermöglicht.
Die Schadsoftware zielt sowohl auf Windows- als auch auf Linux-Systeme ab. Um die Hürde für potenzielle Käufer niedrig zu halten, wird der gesamte Prozess von Anfang bis Ende über die Messenger-App Telegram abgewickelt. Diese vermeintliche Professionalisierung täuscht jedoch nicht über gravierende Mängel in der Qualitätskontrolle hinweg. Was für die Kriminellen ein Desaster darstellt, erweist sich für betroffene Unternehmen und Endanwender als unerwarteter Glücksfall. Denn die Software liefert den Schlüssel zur Entschlüsselung der Daten aus Versehen gleich mit.
Wie SentinelOne in einer tiefgehenden Analyse aufzeigt, generiert VolkLocker die Verschlüsselungskeys nicht dynamisch für jeden Angriff. Stattdessen ist ein Hauptschlüssel fest in den Binärdateien kodiert. Noch gravierender für die Angreifer ist jedoch eine wahrscheinlich vergessene Debugging-Funktion. Denn während der Initialisierung schreibt die Malware eine unverschlüsselte Textdatei in den temporären Ordner des Benutzers. Diese Datei enthält neben der Bitcoin-Adresse der Erpresser auch den kompletten Master-Key im Klartext. Betroffene Anwender können diesen Schlüssel einfach auslesen und damit versuchen, ihre Daten wiederherzustellen, ohne auf die Forderungen einzugehen.
Das Geschäftsmodell von CyberVolk demonstriert eindrücklich, wie niedrig die Einstiegshürden für Cyberkriminalität mittlerweile geworden sind. Die Gruppe verbindet dabei ideologische Propaganda mit Profitgier und bietet ihre Werkzeuge zu Kampfpreisen an. Die Kosten für die Nutzung der Ransomware liegen weit unter dem Marktdurchschnitt etablierter RaaS-Anbieter:
Macht ihr regelmäßige Backups eurer Daten oder ist euch schon einmal etwas unwiderruflich verloren gegangen? Schreibt uns eure Erfahrungen gerne in die Kommentare.
Download Ashampoo Backup Pro - Daten sichern & wiederherstellen Download Clonezilla Live - Kostenlos Festplatten klonen und Images erstellen
Siehe auch:
Rückkehr mit schwerwiegendem Fehler
Ransomware wird immer ausgefeilter. Zuletzt sorgte ein entsprechender Angriff für Chaos an europäischen Flughäfen. Und die Anzahl der Vorfälle steigt. Teilweise kommt es sogar zu Insolvenzen. Mit von der Partie ist auch die pro-russische Hackergruppe CyberVolk. Die bekannten Hacker kehren nun mit einer neuen Schadsoftware namens "VolkLocker" zurück. Das Angebot richtet sich als Ransomware-as-a-Service (RaaS) an Kriminelle, die IT-Systeme verschlüsseln und Lösegeld erpressen wollen. Doch bei der Entwicklung ist ein fataler Fehler unterlaufen.Die Schadsoftware zielt sowohl auf Windows- als auch auf Linux-Systeme ab. Um die Hürde für potenzielle Käufer niedrig zu halten, wird der gesamte Prozess von Anfang bis Ende über die Messenger-App Telegram abgewickelt. Diese vermeintliche Professionalisierung täuscht jedoch nicht über gravierende Mängel in der Qualitätskontrolle hinweg. Was für die Kriminellen ein Desaster darstellt, erweist sich für betroffene Unternehmen und Endanwender als unerwarteter Glücksfall. Denn die Software liefert den Schlüssel zur Entschlüsselung der Daten aus Versehen gleich mit.
Wie SentinelOne in einer tiefgehenden Analyse aufzeigt, generiert VolkLocker die Verschlüsselungskeys nicht dynamisch für jeden Angriff. Stattdessen ist ein Hauptschlüssel fest in den Binärdateien kodiert. Noch gravierender für die Angreifer ist jedoch eine wahrscheinlich vergessene Debugging-Funktion. Denn während der Initialisierung schreibt die Malware eine unverschlüsselte Textdatei in den temporären Ordner des Benutzers. Diese Datei enthält neben der Bitcoin-Adresse der Erpresser auch den kompletten Master-Key im Klartext. Betroffene Anwender können diesen Schlüssel einfach auslesen und damit versuchen, ihre Daten wiederherzustellen, ohne auf die Forderungen einzugehen.
Große Gefahr trotz Gratis-Schlüssel
Trotz dieses eklatanten Fehlers bleibt die Malware gefährlich und sollte nicht unterschätzt werden. Sie nutzt fortschrittliche Techniken, um sich höhere Rechte auf dem infizierten System zu erschleichen und Sicherheitsmechanismen auszuhebeln. Zudem verfügt VolkLocker über aggressive Zerstörungsmechanismen, die eher an einen Wiper als an klassische Ransomware erinnern. Ein im Hintergrund laufender Timer löscht bei Ablauf oder nach drei falschen Eingaben des Entschlüsselungscodes unwiderruflich Benutzerordner wie Dokumente und Bilder. Anschließend provoziert die Software gezielt einen Absturz des Systems, um den Schaden zu maximieren und Spuren zu verwischen.Das Geschäftsmodell von CyberVolk demonstriert eindrücklich, wie niedrig die Einstiegshürden für Cyberkriminalität mittlerweile geworden sind. Die Gruppe verbindet dabei ideologische Propaganda mit Profitgier und bietet ihre Werkzeuge zu Kampfpreisen an. Die Kosten für die Nutzung der Ransomware liegen weit unter dem Marktdurchschnitt etablierter RaaS-Anbieter:
- Single-OS RaaS: 800 - 1.100 Dollar (ca. 680 - 940 Euro)
- Kombi (Linux & Windows): 1.600 - 2.200 Dollar (ca. 1.360 - 1.870 Euro)
- Standalone Tools (RAT/Keylogger): ca. 500 Dollar (ca. 425 Euro)
Lücke vermutlich bald geschlossen
Die aggressive Rekrutierung neuer Partner und die Nutzung von Telegram als widerstandsfähige Infrastruktur deuten darauf hin, dass CyberVolk plant, langfristig im Geschäft zu bleiben. Obwohl die aktuelle Version von VolkLocker durch den Fehler im Umgang mit dem Hauptschlüssel entschärft ist, warnt die Sicherheitsbranche vor der Gruppe. Es ist davon auszugehen, dass die Entwickler die Fehler in zukünftigen Versionen korrigieren werden. IT-Abteilungen sollten daher weiterhin auf robuste Backups und Endpoint-Protection achten, da die nächste Iteration der Software möglicherweise nicht mehr so einfach zu überlisten ist.Macht ihr regelmäßige Backups eurer Daten oder ist euch schon einmal etwas unwiderruflich verloren gegangen? Schreibt uns eure Erfahrungen gerne in die Kommentare.
Download Ashampoo Backup Pro - Daten sichern & wiederherstellen Download Clonezilla Live - Kostenlos Festplatten klonen und Images erstellen
Zusammenfassung
- Pro-russische Hackergruppe CyberVolk verkauft neue Ransomware VolkLocker
- Ransomware-as-a-Service wird komplett über Telegram abgewickelt
- Schwerer Entwicklungsfehler ermöglicht Opfern kostenlose Datenwiederherstellung
- Malware speichert Master-Key unverschlüsselt in temporärem Benutzerordner
- Software enthält aggressive Zerstörungsmechanismen mit Timer-Funktion
- Niedrige Einstiegspreise zwischen 500 und 2200 Dollar für Cyberkriminelle
- Experten warnen vor zukünftigen Versionen ohne diese Sicherheitslücke
Siehe auch:
- DroidLock: Ransomware mit Zusatz-Features für Android-Smartphones
- Inside-Job: Security-Experten für Ransomware-Angriffe vor Gericht
- Ransomware-Angriff sorgt für Chaos auf europäischen Flughäfen
- HybridPetya: Neues Ransomware-Bootkit umgeht Secure Boot
- Reich genug: Gleich 15 Ransomware-Banden kündigen Rückzug an
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen