Ransomware “Blackbyte” geringere Bedrohung als gedacht
Bei vielen Ransomware-Attacken sind nicht nur professionelle Experten am Werk. Wie Forscher anhand des Codes der Blackbyte Ransomware demonstrieren konnten, gibt es auch bei solchen Attacken viele Fehler, welche Unternehmen aufatmen lassen können. Dennoch sollten Unternehmen bei solchen Angriffen Vorsicht walten lassen.
Ransomware ist auf dem weltweiten Vormarsch
Angriffe mit Ransomware nehmen weltweit immer stärker zu. Von diesen Angriffen sind nicht nur kleine und mittelständische Unternehmen betroffen, sondern auch Großunternehmen, Versorger und sogar Behörden. Die Erpressung mit der Verschlüsselung der Daten ist dabei enorm lukrativ für die großen Banden. Doch es gibt Trittbrettfahrer, die sich ebenfalls dieser Methoden bedienen, von denen aber eine etwas geringere Gefahr auszugehen scheint. Grundsätzlich ist es allerdings wichtig, dass innerhalb der Unternehmen die Richtlinien so angepasst werden, dass Ransomware-Angriffe nach Möglichkeit verhindert werden. Neben Schulungen der Mitarbeiter spielen auch Daten-Backups in regelmäßiger Form eine wichtige Rolle beim Schutz vor solchen Angriffen. Betrachten wir jedoch einmal einen der Angreifer exemplarisch.
Die Organisation Blackbyte kopiert von den Großen der Branche
Zu den größten und bekanntesten Organisationen im Bereich Ransomware zählen Banden wie REvil oder auch Ryuk. Im Gegensatz dazu ist die Organisation Blackbyte eher klein und unbekannt. Allerdings fiel den Forschern auf, dass Blackbyte in ihrem Vorgehen die großen und bekannten Namen der Branche kopiert. Jedoch dabei auch einen entscheidenden Fehler macht. Denn die Programmierung der Ransomware-Software ist bei Blackbyte fehlerhaft und anfällig. So konnten Forscher ein einfaches Werkzeug entwickeln, das in der Lage ist, die Verschlüsselung zu lösen. So verwendet Blackbyte zur Entschlüsselung des Codes kein asymmetrisches Verfahren, sondern setzt auf das bekannte symmetrische Verschlüsselungsverfahren AES. Der Schlüssel wird zudem direkt auf dem betroffenen System hinterlegt.
In vielen Fällen ist die Entschlüsselung dank Fehler im Blackbyte-Code möglich
Die Forscher von Spider Labs haben ein einfaches Werkzeug entwickelt, das helfen kann, die von Blackbyte befallenen Systeme zu entschlüsseln. Das Werkzeug ist kostenfrei und von den Forschern ausreichend getestet. Blackbyte hingegen wehrt sich aktuell gegen diese Aussagen und behauptet unter anderem, verschiedene Verschlüsselungswerkzeuge zu nutzen, um die betroffenen Firmen zur Zahlung zu bewegen. Grundsätzlich ist es zwar richtig, dass es sein kann, dass weitere Maßnahmen ergriffen wurden, doch die Ergebnisse zeigen, dass Blackbyte hier einfach stümperhaft gearbeitet hat. Dennoch sollten Sie, sofern Sie betroffen sind, vor dem Versuch der Entschlüsselung die gesamten Daten per Backup sichern. So können Sie sicherstellen, dass auch nach einem nicht erfolgreichen Entschlüsselungsversuch die Daten erhalten bleiben. Wenn Sie betroffen sind, können Sie sich an die Experten von CompiPower wenden, die Sie beim Backup der Daten und bei der Entschlüsselung unterstützen.
Unternehmen, die von der Ransomware von Blackbyte betroffen sind, können also in vielen Fällen die eigenen Daten retten, ohne Geld an die Betrüger von Blackbyte zahlen zu müssen.
Autor:
Peter Debus, zertifizierter ethischer Hacker, CompiPower, Mitglied im BDS SH
Bild: ©_Suttipun_AdobeStock
Nehmen Sie Teil an unseren Online- und Live-Events!
Sie können dann Ihre weiteren Fragen stellen und mitdiskutieren …
Die nächsten Termine zu diesem Thema finden Sie unter >> Events <<
