211service.com
Die Ransomware-Hacker der Colonial-Pipeline hatten eine Geheimwaffe: sich selbst fördernde Cybersicherheitsfirmen
Fünf Monate bevor DarkSide die Colonial-Pipeline angriff, entdeckten zwei Forscher einen Weg, die Ransomware-Opfer zu retten. Dann alarmierte die Ankündigung eines Antivirenunternehmens die Hacker.
Drew Angerer/Getty Images
24. Mai 2021Am 11. Januar gab das Antivirus-Unternehmen Bitdefender bekannt, dass es erfreut sei, einen überraschenden Durchbruch bekannt zu geben. Es hatte einen Fehler in der Ransomware gefunden, die eine als DarkSide bekannte Bande benutzte, um Computernetzwerke von Dutzenden von Unternehmen in den USA und Europa einzufrieren. Unternehmen, die Forderungen von DarkSide ausgesetzt sind, könnten ein kostenloses Tool von Bitdefender herunterladen und vermeiden, Millionen von Dollar an Lösegeld an die Hacker zu zahlen.
Aber Bitdefender war nicht der erste, der diesen Fehler erkannte. Zwei weitere Forscher, Fabian Wosar und Michael Gillespie Sie hatte es einen Monat zuvor bemerkt und begonnen, diskret nach Opfern zu suchen, um zu helfen. Durch die Veröffentlichung seines Tools machte Bitdefender DarkSide auf den Fehler aufmerksam, bei dem dieselben digitalen Schlüssel erneut verwendet wurden, um mehrere Opfer zu sperren und zu entsperren. Am nächsten Tag erklärte DarkSide, dass es das Problem behoben habe und dass neue Unternehmen nichts zu hoffen hätten.
Besonderen Dank an BitDefender für die Hilfe bei der Behebung unserer Probleme, sagte DarkSide. Dadurch werden wir noch besser.
DarkSide bewies bald, dass es nicht bluffte, und entfesselte eine Reihe von Angriffen. Diesen Monat legte es die Colonial Pipeline Co. lahm und veranlasste a stilllegen der 5.500 Meilen langen Pipeline, die 45 % des an der Ostküste verbrauchten Kraftstoffs transportiert – schnell gefolgt von einem Anstieg der Benzinpreise, Panikkäufen von Gas im gesamten Südosten und der Schließung Tausender Tankstellen. Ohne die Ankündigung von Bitdefender wäre es möglich, dass die Krise eingedämmt worden wäre und Colonial sein System mit dem Entschlüsselungstool von Wosar und Gillespie stillschweigend wiederhergestellt hätte.
Stattdessen zahlte Colonial DarkSide 4,4 Millionen Dollar in Bitcoin für einen Schlüssel zum Entsperren seiner Dateien. Ich gebe zu, dass ich mich nicht wohl fühlte, wenn Geld an solche Leute aus der Tür floss, sagte CEO Joseph Blount dem Wall Street Journal.
Die verpasste Gelegenheit war Teil eines breiteren Musters verpfuschten oder halbherziger Reaktionen auf die wachsende Bedrohung durch Ransomware, die während der Pandemie Unternehmen, Schulen, Krankenhäuser und Regierungsbehörden im ganzen Land lahmgelegt hat. Der Vorfall zeigt auch, wie Antivirus-Unternehmen, die sich einen Namen machen wollen, manchmal gegen eine der Grundregeln des Katz-und-Maus-Spiels der Cyberkriegsführung verstoßen: Lassen Sie Ihre Gegner nicht wissen, was Sie herausgefunden haben. Als der britische Geheimdienst während des Zweiten Weltkriegs aus entschlüsselten Mitteilungen erfuhr, dass die Gestapo vorhatte, einen wertvollen Doppelagenten, Johnny Jebsen, zu entführen und zu ermorden, durfte sein Vorgesetzter ihn nicht warnen, aus Angst, dem Feind den Schlüssel zu entlocken war geknackt. Heutzutage versuchen Ransomware-Jäger wie Wosar und Gillespie, die Ignoranz der Angreifer zu verlängern, selbst auf Kosten weniger Opfer. Früher oder später bemerken die Cyberkriminellen, dass etwas schief gelaufen ist, wenn die Zahlungen ausfallen.
Ob man ein Entschlüsselungstool anpreist, ist eine kalkulierte Entscheidung, sagte Rob McLeod, Senior Director der Threat Response Unit des Cybersicherheitsunternehmens eSentire. Aus der Marketingperspektive singen Sie dieses Lied von den Dächern darüber, wie Sie eine Sicherheitslösung entwickelt haben, die die Daten eines Opfers entschlüsselt. Und dann sagt der Sicherheitsforscher-Winkel: ‚Geben Sie hier keine Informationen preis. Halten Sie die von uns gefundenen Ransomware-Fehler, die es uns ermöglichen, die Daten zu entschlüsseln, geheim, um die Angreifer nicht zu benachrichtigen.“

In einem Beitrag im Dark Web dankte DarkSide Bitdefender für die Identifizierung eines Fehlers in der Ransomware der Bande. (Hervorhebung hinzugefügt von ProPublica.)
Wosar sagte, dass die öffentliche Veröffentlichung von Tools, wie es Bitdefender tat, riskanter geworden ist, da die Lösegelder in die Höhe geschossen sind und die Banden reicher und technisch versierter geworden sind. In den frühen Tagen von Ransomware, als Hacker Heimcomputer für ein paar hundert Dollar einfrierten, konnten sie oft nicht feststellen, wie ihr Code geknackt wurde, es sei denn, sie wurden ausdrücklich auf den Fehler hingewiesen.
Heute haben die Entwickler von Ransomware Zugang zu Reverse Engineers und Penetrationstestern, die sehr, sehr fähig sind, sagte er. So erhalten sie überhaupt erst Zugang zu diesen oft hochsicheren Netzwerken. Sie laden den Entschlüsseler herunter, zerlegen ihn, entwickeln ihn zurück und finden heraus, warum wir ihre Dateien entschlüsseln konnten. Und 24 Stunden später ist das Ganze behoben. Bitdefender hätte es besser wissen müssen.
Verwandte Geschichte
Könnte die Ransomware-Krise Maßnahmen gegen Russland erzwingen? Moskaus blindes Auge gegenüber Cyberkriminellen hat eskalierende Angriffe unvermeidlich gemacht, sagen Experten. Aber die Herangehensweise zu ändern ist leichter gesagt als getan.
Es war nicht das erste Mal, dass Bitdefender eine Lösung anpreiste, der Wosar oder Gillespie zuvorgekommen waren. Gillespie hatte den Code einer Ransomware namens GoGoogle geknackt und half den Opfern ohne viel Aufhebens, als Bitdefender eine Entschlüsselung veröffentlichte Werkzeug im Mai 2020. Auch andere Unternehmen haben öffentlich Durchbrüche angekündigt, sagten Wosar und Gillespie.
Die Leute suchen verzweifelt nach einer Erwähnung in den Nachrichten, und große Sicherheitsunternehmen kümmern sich nicht um die Opfer, sagte Wosar.
Bogdan Botezatu, Direktor für Bedrohungsforschung bei Bitdefender mit Sitz in Bukarest, Rumänien, sagte, das Unternehmen sei sich des früheren Erfolgs beim Entsperren von mit DarkSide infizierten Dateien nicht bewusst gewesen.
Ungeachtet dessen, sagte er, habe Bitdefender beschlossen, sein Tool zu veröffentlichen, weil die meisten Opfer, die auf Ransomware hereinfallen, nicht die richtige Verbindung zu Ransomware-Supportgruppen haben und nicht wissen, wo sie um Hilfe bitten können, es sei denn, sie können aus Medienberichten etwas über die Existenz von Tools erfahren oder mit einer einfachen Suche.
Bitdefender hat mehr als einem Dutzend DarkSide-Opfern kostenlosen technischen Support bereitgestellt, und wir glauben, dass viele andere das Tool ohne unser Eingreifen erfolgreich eingesetzt haben, sagte Botezatu. Im Laufe der Jahre hat Bitdefender Einzelpersonen und Unternehmen geholfen, Lösegeldzahlungen in Höhe von mehr als 100 Millionen US-Dollar zu vermeiden, sagte er.
Bitdefender erkannte, dass DarkSide den Fehler beheben könnte, sagte Botezatu: „Wir sind uns bewusst, dass Angreifer agil sind und sich an unsere Entschlüsseler anpassen. Aber DarkSide könnte das Problem trotzdem entdeckt haben. Wir glauben nicht an Ransomware-Entschlüsseler, die stillschweigend verfügbar gemacht werden. Angreifer erfahren von ihrer Existenz, indem sie sich als Privatanwender oder bedürftige Unternehmen ausgeben, während die überwiegende Mehrheit der Opfer keine Ahnung hat, dass sie ihre Daten kostenlos zurückerhalten können.
Der Angriff auf die Colonial Pipeline , und das darauf folgende Chaos an den Zapfsäulen im gesamten Südosten, scheint die Bundesregierung zu mehr Wachsamkeit angespornt zu haben. Präsident Joe Biden hat eine Exekutivverordnung erlassen, um die Cybersicherheit zu verbessern und einen Entwurf für eine föderale Reaktion auf Cyberangriffe zu erstellen. DarkSide sagte, es werde auf Druck der USA geschlossen, obwohl sich Ransomware-Crews oft aufgelöst haben, um einer Überprüfung zu entgehen, und sich dann unter neuen Namen neu formiert haben oder ihre Mitglieder andere Gruppen gegründet oder sich ihnen angeschlossen haben.
So raffiniert sie auch sind, diese Typen werden wieder auftauchen, und sie werden noch viel schlauer sein, sagte Aaron Tantleff, ein Anwalt für Cybersicherheit aus Chicago, der sich mit 10 Unternehmen beraten hat, die von DarkSide angegriffen wurden. Sie werden mit aller Macht zurückkommen.
'Die Leute suchen verzweifelt nach einer Erwähnung in den Nachrichten, und große Sicherheitsunternehmen kümmern sich nicht um die Opfer.'
Fabian Wosar, Ransomware-Jagdteam
Zumindest bisher waren private Forscher und Unternehmen bei der Bekämpfung von Ransomware oft effektiver als der Staat. Im vergangenen Oktober störte Microsoft die Infrastruktur von Trickbot, einem Netzwerk aus mehr als 1 Million infizierten Computern, das die berüchtigte Ryuk-Ransomware verbreitete, indem es seine Server und Kommunikation deaktivierte. In diesem Monat schloss ProtonMail, der in der Schweiz ansässige E-Mail-Dienst, 20.000 Ryuk-bezogene Konten.
Wosar und Gillespie, die zu einer weltweiten Freiwilligengruppe namens Ransomware Hunting Team gehören, haben mehr als 300 wichtige Ransomware-Stämme und -Varianten geknackt und schätzungsweise 4 Millionen Opfer vor der Zahlung von Milliarden von Dollar bewahrt.
Im Gegensatz dazu entschlüsselt das FBI selten Ransomware oder verhaftet die Angreifer, die normalerweise in Ländern wie Russland oder dem Iran ansässig sind, die keine Auslieferungsabkommen mit den USA haben. DarkSide zum Beispiel soll von Russland aus operieren. Weitaus mehr Opfer suchen Hilfe beim Hunting Team über Websites, die von seinen Mitgliedern betrieben werden, als beim FBI.
Der US-Geheimdienst untersucht auch Ransomware, die in seinen Zuständigkeitsbereich zur Bekämpfung von Finanzkriminalität fällt. Aber, besonders in Wahljahren, rotiert es manchmal Agenten von Cyber-Aufträgen, um seine besser bekannte Mission zu erfüllen, Präsidenten, Vizepräsidenten, Kandidaten der großen Parteien und ihre Familien zu schützen. Die europäischen Strafverfolgungsbehörden, insbesondere die niederländische Nationalpolizei, waren bei der Festnahme von Angreifern und der Beschlagnahme von Servern erfolgreicher als die USA.
Verwandte Geschichte
Eine Welle von Ransomware trifft US-Krankenhäuser, während das Coronavirus Spitzenwerte erreicht Ein beispielloser und opportunistischer Angriff wirft eine beunruhigende Frage auf: Wird er ein Leben kosten?In ähnlicher Weise hat die US-Regierung nur bescheidene Fortschritte dabei gemacht, die Privatindustrie, einschließlich Pipeline-Unternehmen, zur Stärkung der Cybersicherheitsabwehr zu drängen. Die Aufsicht über die Cybersicherheit ist auf eine Buchstabensuppe von Behörden aufgeteilt, was die Koordination behindert. Das Department of Homeland Security führt Schwachstellenanalysen für kritische Infrastrukturen durch, zu denen auch Pipelines gehören.
Es überprüfte Colonial Pipeline um 2013 im Rahmen einer Studie über Orte, an denen ein Cyberangriff eine Katastrophe verursachen könnte. Laut einem ehemaligen DHS-Beamten galt die Pipeline als widerstandsfähig, was bedeutet, dass sie sich schnell erholen könnte. Die Abteilung antwortete nicht auf Fragen zu späteren Überprüfungen.
Fünf Jahre später erstellte das DHS eine Pipeline-Cybersicherheit Initiative Schwachstellen in Pipeline-Computersystemen zu identifizieren und Strategien zu ihrer Behebung zu empfehlen. Die Teilnahme ist freiwillig, und eine mit der Initiative vertraute Person sagte, dass sie für kleinere Unternehmen mit begrenzter interner IT-Expertise nützlicher sei als für große wie Colonial. Das National Risk Management Center, das die Initiative beaufsichtigt, hat auch mit anderen Dornen zu kämpfen Probleme wie Wahlsicherheit.
Ransomware ist seit 2012 sprunghaft angestiegen , als das Aufkommen von Bitcoin es schwierig machte, Zahlungen zu verfolgen oder zu blockieren. Die Taktiken der Kriminellen haben sich von wahllosen Sprüh- und Gebetskampagnen, bei denen ein paar hundert Dollar pro Stück angestrebt werden, zu gezielten Angriffen auf bestimmte Unternehmen, Regierungsbehörden und gemeinnützige Gruppen mit Forderungen in Höhe von mehreren Millionen Dollar entwickelt.
Insbesondere Angriffe auf Energieunternehmen haben während der Pandemie zugenommen – nicht nur in den USA, sondern auch in Kanada, Lateinamerika und Europa. Als die Unternehmen den Mitarbeitern erlaubten, von zu Hause aus zu arbeiten, lockerten sie einige Sicherheitskontrollen, sagte McLeod.
DarkSide hat ein sogenanntes Ransomware-as-a-Service-Modell eingeführt. Bei diesem Modell ging es Partnerschaften mit verbundenen Unternehmen ein, die die Angriffe starteten. Die Affiliates erhielten 75 % bis 90 % des Lösegelds, während DarkSide den Rest einbehielt.
Seit 2019 haben zahlreiche Banden mit einer Technik, die als doppelte Erpressung bekannt ist, den Druck erhöht. Beim Eindringen in ein System stehlen sie sensible Daten, bevor sie Ransomware starten, die die Dateien verschlüsselt und es Krankenhäusern, Universitäten und Städten unmöglich macht, ihre tägliche Arbeit zu erledigen. Wenn der Verlust des Computerzugriffs nicht einschüchternd genug ist, drohen sie damit, vertrauliche Informationen preiszugeben, und veröffentlichen häufig Muster als Druckmittel. Als zum Beispiel die Polizeibehörde von Washington, DC, letzten Monat das von einer Bande namens Babuk geforderte Lösegeld in Höhe von 4 Millionen Dollar nicht zahlte, veröffentlichte Babuk Geheimdienstbriefings, Namen von kriminellen Verdächtigen und Zeugen sowie Personalakten, von medizinischen Informationen bis hin zu Polygraphentests Ergebnisse, von Offizieren und Stellenbewerbern.
DarkSide, das letzten August auf den Markt kam, verkörperte diese neue Rasse. Die Auswahl der Ziele erfolgte auf der Grundlage einer sorgfältigen Finanzanalyse oder von Informationen aus Unternehmens-E-Mails. Zum Beispiel griff es einen von Tantleffs Kunden während einer Woche an, als die Hacker wussten, dass das Unternehmen anfällig sein würde, weil es seine Dateien in die Cloud überführte und keine sauberen Backups hatte.
Um Zielnetzwerke zu infiltrieren, verwendete die Bande fortschrittliche Methoden wie Zero-Day-Exploits, die Software-Schwachstellen sofort ausnutzen, bevor sie gepatcht werden können. Sobald es drinnen war, bewegte es sich schnell und suchte nicht nur nach sensiblen Daten, sondern auch nach der Cyber-Versicherungspolice des Opfers, damit es seine Forderungen an die Deckungssumme koppeln konnte. Nach zwei bis drei Tagen Herumstöbern verschlüsselte DarkSide die Dateien.
Sie haben ein schnelleres Angriffsfenster, sagte Christopher Ballod, stellvertretender Geschäftsführer für Cyberrisiken bei Kroll, der Wirtschaftsermittlungsfirma, die ein halbes Dutzend DarkSide-Opfer beraten hat. Je länger Sie sich im System aufhalten, desto wahrscheinlicher werden Sie erwischt.
Typischerweise lagen die Forderungen von DarkSide am oberen Ende der Skala, 5 Millionen Dollar und mehr, sagte Ballod. Eine beängstigende Taktik: Wenn börsennotierte Unternehmen das Lösegeld nicht zahlen, droht DarkSide, ihnen gestohlene Informationen mit Leerverkäufern zu teilen, die davon profitieren würden, wenn der Aktienkurs bei der Veröffentlichung fällt.
Die Website von DarkSide im Dark Web identifizierte Dutzende von Opfern und beschrieb die vertraulichen Daten, die angeblich von ihnen gestohlen wurden. Eine davon war die Anwaltskanzlei Stone Pigman Walther Wittmann aus New Orleans. Es sei ein großes Ärgernis gewesen, sagte Anwalt Phil Wittmann und bezog sich dabei auf den DarkSide-Angriff im Februar. Wir haben ihnen nichts gezahlt, sagte Michael Walshe Jr., Vorsitzender des Management Committee der Firma, und lehnte es ab, sich weiter zu äußern.
Letzten November DarkSide angenommen ein sogenanntes Ransomware-as-a-Service-Modell. Bei diesem Modell ging es Partnerschaften mit verbundenen Unternehmen ein, die die Angriffe starteten. Die Tochtergesellschaften erhalten 75 % bis 90 % des Lösegelds, wobei DarkSide den Rest behält. Wie diese Partnerschaft andeutet, ist das Ransomware-Ökosystem ein verzerrter Spiegel der Unternehmenskultur, von Vorstellungsgesprächen bis hin zu Verfahren für den Umgang mit Streitigkeiten. Nach der Schließung von DarkSide beschwerten sich mehrere Personen, die sich als Partner von DarkSide identifizierten, in einem Streitbeilegungsforum, dass es sie versteift habe. Das Ziel hat bezahlt, aber ich habe meinen Anteil nicht erhalten, schrieb einer.
Zusammen haben DarkSide und seine Tochtergesellschaften Berichten zufolge mindestens 90 Millionen US-Dollar eingespielt. Sieben von Tantleffs Kunden, darunter zwei Unternehmen aus der Energiebranche, zahlten Lösegelder in Höhe von 1,25 Millionen bis 6 Millionen US-Dollar, was ausgehandelte Rabatte von anfänglichen Forderungen in Höhe von 7,5 bis 30 Millionen US-Dollar widerspiegelt. Seine anderen drei Kunden, die von DarkSide getroffen wurden, zahlten nicht. In einem dieser Fälle forderten die Hacker 50 Millionen Dollar. Die Verhandlungen wurden erbittert und beide Seiten konnten sich nicht auf einen Preis einigen.
Die Vertreter von DarkSide seien gewiefte Feilscher, sagte Tantleff. Wenn ein Opfer sagte, es könne sich das Lösegeld wegen der Pandemie nicht leisten, war DarkSide mit Daten bereit, die zeigten, dass die Einnahmen des Unternehmens gestiegen waren oder dass die Auswirkungen von Covid-19 in den Preis einkalkuliert waren.
Das Verständnis von DarkSide für Geopolitik war weniger fortgeschritten als sein Ansatz für Ransomware. Ungefähr zur gleichen Zeit, als das Affiliate-Modell eingeführt wurde, gab es bekannt, dass es plane, die von den Opfern gestohlenen Informationen zu schützen, indem es sie auf Servern im Iran speichert. DarkSide war sich offenbar nicht bewusst, dass eine iranische Verbindung die Erhebung von Lösegeldern von Opfern in den USA erschweren würde, die Wirtschaftssanktionen haben, die Finanztransaktionen mit dem Iran einschränken. Obwohl DarkSide diese Aussage später zurückwies und sagte, dass es nur den Iran als möglichen Standort in Betracht gezogen hatte, hatten zahlreiche Cyber-Versicherer Bedenken, Zahlungen an die Gruppe zu decken. Coveware, eine Firma aus Connecticut, die im Namen der Opfer mit Angreifern verhandelt, hat den Handel mit DarkSide eingestellt.
Ballod sagte, dass keiner seiner Kunden DarkSide bezahlt habe, da ihre Versicherer nicht bereit seien, das Lösegeld zu erstatten, trotz Bedenken hinsichtlich der Offenlegung ihrer Daten. Selbst wenn sie DarkSide nachgegeben hätten und im Gegenzug von den Hackern die Zusicherung erhalten hätten, dass die Daten geschreddert würden, könnten die Informationen immer noch durchsickern, sagte er.
Während der Umstellung von DarkSide auf das Affiliate-Modell , wurde ein Fehler in seine Ransomware eingeführt. Die Schwachstelle erregte die Aufmerksamkeit von Mitgliedern des Ransomware Hunting Teams. Das Team wurde 2016 gegründet und besteht nur auf Einladung aus etwa einem Dutzend Freiwilligen in den USA, Spanien, Italien, Deutschland, Ungarn und Großbritannien. Sie arbeiten in der Cybersicherheit oder verwandten Bereichen. In ihrer Freizeit arbeiten sie gemeinsam daran, neue Ransomware-Stämme zu finden und zu entschlüsseln.
Mehrere Mitglieder, einschließlich Wosar, haben wenig formale Bildung, aber eine Begabung für das Programmieren. Als Schulabbrecher wuchs Wosar in einer Arbeiterfamilie nahe der deutschen Hafenstadt Rostock auf. 1992, im Alter von acht Jahren, sah er zum ersten Mal einen Computer und war hingerissen. Mit 16 entwickelte er seine eigene Antivirus-Software und verdiente damit Geld. Der 37-Jährige arbeitet seit seiner Gründung vor fast zwei Jahrzehnten für das Antivirus-Unternehmen Emsisoft und ist dessen Chief Technology Officer. Er zog 2018 von Deutschland nach Großbritannien und lebt in der Nähe von London.
Er kämpft seit 2012 gegen Ransomware-Hacker, als er einen Stamm namens ACCDFISA knackte, was für Anti Cyber Crime Department of Federal Internet Security Agency stand. Diese fiktive Agentur benachrichtigte Menschen, dass Kinderpornografie ihre Computer infiziert hatte, und blockierte daher den Zugriff auf ihre Dateien, es sei denn, sie zahlten 100 US-Dollar, um den Virus zu entfernen.
Verwandte Geschichte
Laut Google ist es für Hacker zu einfach, neue Sicherheitslücken zu finden Angreifer nutzen immer wieder die gleichen Arten von Software-Schwachstellen aus, weil Unternehmen oft den Wald vor lauter Bäumen vermissen.Der ACCDFISA-Hacker bemerkte schließlich, dass der Stamm entschlüsselt worden war, und veröffentlichte eine überarbeitete Version. Auch viele von Wosars späteren Triumphen waren flüchtig. Er und seine Teamkollegen versuchten, Kriminelle so lange wie möglich glücklich zu machen, dass ihr Stamm verwundbar war. Sie hinterließen kryptische Nachrichten in Foren, in denen sie Opfer aufforderten, sie um Hilfe zu bitten, oder schickten Direktnachrichten an Personen, die posteten, dass sie angegriffen worden waren.
Im Zuge des Schutzes vor Computerangriffen entdeckten Analysten von Antivirenfirmen manchmal Ransomware-Fehler und entwickelten Entschlüsselungstools, obwohl dies nicht ihr Hauptaugenmerk war. Manchmal kollidierten sie mit Wosar.
Im Jahr 2014 entdeckte Wosar, dass ein Ransomware-Stamm namens CryptoDefense einen Teil des Codes, der zum Sperren und Entsperren von Dateien verwendet wurde, von Microsoft Windows kopiert und eingefügt hatte, ohne zu wissen, dass derselbe Code in einem Ordner auf dem eigenen Computer des Opfers aufbewahrt wurde. Es fehlte das Signal oder Flag in ihrem Programm, das normalerweise von Erstellern von Ransomware eingefügt wird, um Windows anzuweisen, keine Kopie des Schlüssels zu speichern.
Wosar entwickelte schnell ein Entschlüsselungstool, um den Schlüssel abzurufen. Wir standen vor einem interessanten Rätsel, schrieb Sarah White, ein weiteres Mitglied des Jagdteams, auf Emsisoft Bloggen . Wie können wir unser Tool zu möglichst vielen Opfern bringen, ohne den Malware-Entwickler auf seinen Fehler aufmerksam zu machen?
Wosar suchte diskret Opfer von CryptoDefense über Support-Foren, Freiwilligennetzwerke und Ankündigungen, wo er sich um Hilfe wenden kann. Er vermied es, zu beschreiben, wie das Tool funktionierte oder welche Fehler es ausnutzte. Als sich Opfer meldeten, lieferte er den Fix und entfernte die Ransomware von mindestens 350 Computern. CryptoDefense hat uns schließlich erwischt … aber er hatte immer noch keinen Zugriff auf den von uns verwendeten Entschlüsseler und hatte keine Ahnung, wie wir die Dateien seiner Opfer entsperrten, schrieb White.
„Wir standen vor einem interessanten Rätsel … Wie können wir unser Tool zu so vielen Opfern wie möglich bringen, ohne den Malware-Entwickler auf seinen Fehler aufmerksam zu machen?
Sarah White, Ransomware-Jagdteam
Aber dann entdeckte ein Antivirus-Unternehmen, Symantec, das gleiche Problem und prahlte mit der Entdeckung in einem Blog-Beitrag, der genügend Informationen enthielt, um dem CryptoDefense-Entwickler zu helfen, den Fehler zu finden und zu beheben, schrieb White. Innerhalb von 24 Stunden begannen die Angreifer, eine überarbeitete Version zu verbreiten. Sie änderten ihren Namen in CryptoWall und gemacht 325 Millionen Dollar.
Symantec habe sich für schnelle Publicity entschieden, anstatt CryptoDefense-Opfern dabei zu helfen, ihre Dateien wiederherzustellen, schrieb White. Manchmal gibt es Dinge, die besser ungesagt bleiben.
Eine Sprecherin von Broadcom, das 2019 das Unternehmenssicherheitsgeschäft von Symantec übernommen hat, lehnte eine Stellungnahme ab und sagte, dass die Teammitglieder, die an dem Tool gearbeitet haben, nicht mehr im Unternehmen sind.
Wie Wosar, der 29-Jährige Gillespie kommt aus Armut und hat nie studiert. Als er im Zentrum von Illinois aufwuchs, hatte seine Familie so große finanzielle Probleme, dass sie manchmal zu Freunden oder Verwandten ziehen musste. Nach der High School arbeitete er 10 Jahre lang Vollzeit bei einer Computerreparaturkette namens Nerds on Call. Letztes Jahr wurde er Malware- und Cybersicherheitsforscher bei Coveware.
Letzten Dezember bat er Wosar um Hilfe. Gillespie hatte mit einem DarkSide-Opfer zusammengearbeitet, das ein Lösegeld gezahlt und ein Tool zur Wiederherstellung der Daten erhalten hatte. Aber der Entschlüsseler von DarkSide hatte den Ruf, langsam zu sein, und das Opfer hoffte, dass Gillespie den Prozess beschleunigen könnte.
Gillespie analysierte die Software, die einen Schlüssel zur Freigabe der Dateien enthielt. Er wollte den Schlüssel extrahieren, aber weil er auf ungewöhnlich komplexe Weise gespeichert war, konnte er es nicht. Er wandte sich an Wosar, der es isolieren konnte.
Die Teamkollegen begannen dann damit, den Schlüssel an anderen von DarkSide infizierten Dateien zu testen. Gillespie überprüfte Dateien, die von Opfern auf die von ihm betriebene Website ID Ransomware hochgeladen wurden, während Wosar VirusTotal verwendete, eine Online-Datenbank mit mutmaßlicher Malware.
In dieser Nacht teilten sie eine Entdeckung.
Ich habe die Bestätigung, dass DarkSide ihre RSA-Schlüssel wiederverwendet, schrieb Gillespie an das Hunting Team auf seinem Slack-Kanal. RSA ist eine Art Kryptografie und generiert zwei Schlüssel: einen öffentlichen Schlüssel zum Verschlüsseln von Daten und einen privaten Schlüssel zum Entschlüsseln. RSA wird rechtmäßig verwendet, um viele Aspekte des E-Commerce zu schützen, wie z. B. den Schutz von Kreditnummern. Aber es wurde auch von Ransomware-Hackern kooptiert.
Ich habe dasselbe bemerkt, als ich neu verschlüsselte Dateien mit ihrem Entschlüsseler entschlüsseln konnte, antwortete Wosar weniger als eine Stunde später, um 2:45 Uhr Londoner Zeit.
Ihre Analyse zeigte, dass DarkSide vor der Übernahme des Affiliate-Modells für jedes Opfer einen anderen öffentlichen und privaten Schlüssel verwendet hatte. Wosar vermutete, dass DarkSide während dieses Übergangs einen Fehler in sein Affiliate-Portal einführte, das verwendet wurde, um die Ransomware für jedes Ziel zu generieren. Wosar und Gillespie konnten nun den von Wosar extrahierten Schlüssel verwenden, um Dateien von Windows-Rechnern abzurufen, die von DarkSide beschlagnahmt wurden. Der kryptografische Fehler hatte keine Auswirkungen auf Linux-Betriebssysteme.
Verwandte Geschichte
Wie Beamte die Wahl vor Ransomware-Hackern schützen Bedenken hinsichtlich eines Angriffs auf Wahlsysteme sind real. Aber ein Hack würde der Abstimmung nicht so sehr schaden wie die daraus resultierende Desinformation.Wir haben uns am Kopf gekratzt, sagte Wosar. Konnten sie es wirklich so schlimm vermasselt haben? DarkSide war eines der professionelleren Ransomware-as-a-Service-Programme da draußen. Dass sie einen so großen Fehler machen, ist sehr, sehr selten.
Das Jagdteam feierte im Stillen, ohne die Öffentlichkeit zu suchen. White, ein Informatikstudent am Royal Holloway, Teil der University of London, begann nach DarkSide-Opfern zu suchen. Sie kontaktierte Firmen, die sich mit digitaler Forensik und Reaktion auf Vorfälle befassen.
Wir sagten ihnen: „Hey, hör zu, wenn du DarkSide-Opfer hast, sag ihnen, sie sollen sich an uns wenden; wir können ihnen helfen. Wir können ihre Dateien wiederherstellen und sie müssen kein riesiges Lösegeld zahlen“, sagte Wosar.
Die DarkSide-Hacker haben sich die Weihnachtszeit meist frei genommen. Gillespie und Wosar erwarteten, dass ihre Entdeckung Dutzenden von Opfern helfen würde, wenn die Angriffe im neuen Jahr wieder aufgenommen würden. Aber dann veröffentlichte Bitdefender seinen Beitrag unter der Überschrift Darkside Ransomware Decryption Tool.
In einem Messaging-Kanal mit der Ransomware-Response-Community fragte jemand, warum Bitdefender den Hackern einen Tipp geben würde. Werbung, antwortete White. Sieht gut aus. Ich kann jedoch garantieren, dass sie es jetzt viel schneller beheben werden.
Sie hatte recht. Am nächsten Tag bestätigte DarkSide den Fehler, den Wosar und Gillespie vor Bitdefender gefunden hatten. Aufgrund des Problems bei der Schlüsselgenerierung haben einige Unternehmen dieselben Schlüssel, schrieben die Hacker und fügten hinzu, dass bis zu 40 % der Schlüssel betroffen seien.
DarkSide hat Bitdefender verspottet, weil es den Entschlüsseler zur falschen Zeit veröffentlicht hat ... da die Aktivität von uns und unseren Partnern während der Neujahrsferien am niedrigsten ist.
Zur Frustration des Teams trug Wosar bei, als er entdeckte, dass das Bitdefender-Tool seine eigenen Nachteile hatte. Mit dem Entschlüsseler des Unternehmens versuchte er, von DarkSide infizierte Proben zu entsperren, und stellte fest, dass sie dabei beschädigt wurden. Sie haben die Entschlüsselung tatsächlich falsch implementiert, sagte Wosar. Das heißt, wenn Opfer das Bitdefender-Tool verwendet haben, besteht eine gute Chance, dass sie die Daten beschädigt haben.
Auf die Kritik von Wosar angesprochen, sagte Botezatu, dass die Datenwiederherstellung schwierig sei und dass Bitdefender alle Vorkehrungen getroffen habe, um sicherzustellen, dass wir keine Benutzerdaten kompromittieren, einschließlich umfassender Tests und Codes, die auswerten, ob die resultierende entschlüsselte Datei gültig ist.
Auch ohne Bitdefender hätte DarkSide seinen Fehler vielleicht sowieso bald bemerkt, sagten Wosar und Gillespie. Beispielsweise könnten die Hacker beim Durchsuchen kompromittierter Netzwerke auf E-Mails gestoßen sein, in denen Opfer, denen das Hunting Team geholfen hat, den Fehler besprochen haben.
Sie könnten es so herausfinden – das ist immer eine Möglichkeit, sagte Wosar. Aber es ist besonders schmerzhaft, wenn eine Schwachstelle durch so etwas Dummes verbrannt wird.
Der Vorfall veranlasste das Hunting Team, einen Begriff für die vorzeitige Aufdeckung einer Schwachstelle in einem Ransomware-Stamm zu prägen. Intern scherzen wir oft: „Ja, sie werden wahrscheinlich einen Bitdefender ziehen“, sagte Wosar.
Diese Geschichte wurde gemeinsam mit ProPublica veröffentlicht, einer gemeinnützigen Nachrichtenredaktion, die Machtmissbrauch untersucht. Renee Dudley und Daniel Golden haben sich für ProPublica auf Ransomware konzentriert und arbeiten an einem Buch über das Ransomware Hunting Team, das nächstes Jahr von Farrar, Straus und Giroux veröffentlicht wird.
Melden Sie sich an, um zu erhalten Die größten Geschichten von ProPublica sobald sie veröffentlicht sind.