Seltsame Begegnung: Auch Ransomware-Autoren sind nur Menschen

Die Offenlegung von Quellcodes ist seitens der Malware-Szene nicht besonders gern gesehen. Der Entwickler eines Ransomware-Tools, das als "Magic" bezeichnet wird, versuchte einen Sicherheitsforscher mit Zugeständnissen dazu zu bewegen, die Sourcen wieder offline zu nehmen.
Infografik: Malware-Zyklen
Bei dem Security-Spezialisten handelt es sich um Utku Sen aus der Türkei. Dieser wurde in der Sicherheits-Szene schlagartig ziemlich bekannt, als er die Quellcodes zweier Tools zum Generieren von Ransomware auf GitHub veröffentlichte. Die Analyse der Sourcen ermöglichte es Security-Forschern, verschiedene Schwachstellen in der Software ausfindig zu machen, berichtete das Magazin SoftPedia.

In einem der Tools, das als "Hidden Tear" bekannt ist, wurden so beispielsweise Schwächen in der Umsetzung der Verschlüsselungs-Algorithmen gefunden, mit denen Daten der Nutzer kodiert werden, damit es eine Grundlage für Erpressungsversuche gibt. Dies ermöglichte es, Daten zurückzuholen, ohne Geld an die Verbreiter der Ransomware für die Herausgabe der Schlüssel zu zahlen.

Beim zweiten Tool, das die Basis für die Magic-Familie bildet, wurde durch die Quellcode-Veröffentlichung hingegen klar, wie die Command-and-Controll-Infrastruktur hinter der Malware aufgebaut ist. So zeigte sich, dass die Kommunikation zwischen den betroffenen Rechnern und dem Kriminellen im Hintergrund über einen Server bei einem Gratis-Hoster läuft. Dieser wurde auf die Sache aufmerksam und löschte schlicht den Account. Dadurch gingen allerdings alle dort hinterlegten Schlüssel verloren, mit denen man die Daten auf den Rechnern der betroffenen Nutzer hätte wieder zurückholen können. Dumm gelaufen also - Sen entschuldigte sich für die daraus entstandenen Probleme und nahm den Quellcode erst einmal wieder offline.

Auch Kriminelle sind nur Menschen

Dann aber bekam die ganze Sache eine etwas merkwürdige Wendung, denn der Autor der Malware-Tools meldete sich. Es stellte sich heraus, dass er vor der Löschung seines Accounts noch ein Backup ziehen konnte. In einem Fall hatte er daraufhin sogar einen Schlüssel wieder herausgegeben, ohne von seinem Opfer eine Zahlung erhalten zu haben. Denn irgendwie habe ihm der Anwender dann doch leid getan, der durch die Ransomware die Fotos seines neugeborenen Sohnes verloren hatte.

Gegenüber Sen bot der Erpresser, der aus dem russischsprachigen Raum stammt, dann an, auch alle anderen Schlüssel ohne weitere Forderungen freizugeben. Im Gegenzug verlangte er von dem Sicherheitsforscher aber, dass dieser auch die Quellcodes des ersten Tools wieder von GutHub entfernt und ihm zumindest drei Bitcoin (die etwa 1.100 Euro wert sind) zukommen lässt. Nach einigem Hin und Her zeigte er sich sogar bereit, auf die Bitcoins zu verzichten.

Eine Verständigung scheiterte aber letztlich an den aktuellen politischen Spannungen zwischen Russland und der Türkei. "Als ich den Code anschaute, sah ich eine Menge russischer, Putin-freundlicher Kommentare", so der Security-Forscher. Da wurde er als Türke schon ziemlich zurückhaltend. Außerdem nahm er an, dass die Sache letztlich doch nicht so glatt laufen wird, wenn nun schon politische Dinge im Spiel sind. Er wolle daher seine Zeit nun lieber damit verbringen, weitere Schwachstellen in der Ransomware an sich zu finden. Daten, Code, Virtualisierung Free for Commercial Use / Flickr