Die Ransomware-Gruppe Rhysida sorgte mit Angriffen auf die British Library und das King Edward VII's Hospital für Aufsehen. Doch wie sich herausstellte, sind die Cyberkriminellen keineswegs die Meister-Hacker die sie vorgaben zu sein. Südkoreanische Sicherheitsforscher entdeckten einen groben Fehler in der Verschlüsselungstechnik der Malware. Darauf aufbauend gelang es ihnen ein Entschlüsselungstool zu ausarbeiten mit dem Betroffene ihre verschlüsselten Dateien retten können.
Der Fauxpas bei der Verschlüsselung
In der Welt der Kryptografie gilt es heutzutage als nahezu unmöglich, Verschlüsselungen zu knacken, da bewährte Verfahren wie AES & RSA nur schwer zu überwinden sind – so ebenfalls bei der Rhysida-Ransomware. Stattdessen ist es gängige Praxis, an die benötigten Schlüssel zu gelangen, beispielsweise durch Man-in-the-Middle-Angriffe oder Schwachstellen in der Software. Genau eine solche Schwachstelle identifizierten die koreanischen Forscher bei Rhysida.
Die Ransomware verließ sich bei der Verschlüsselung nicht auf echte Zufallszahlen, allerdings bediente sich eines Pseudo-Zufallszahlengenerators (PRNG) der mit der aktuellen Systemzeit initialisiert wurde. Dieser Generator mag auf den ersten Blick zufällig erscheinen, allerdings bei Verwendung desselben Initialisierungswerts ergibt er stets dieselbe Zahlenfolge. Durch die Rekonstruktion der Systemzeit beim Start des Verschlüsselungsvorgangs konnten die Forscher den richtigen Initialisierungswert herausfinden und dadurch den AES-Schlüssel extrahieren um die Originaldaten wiederherzustellen.
Die Rolle des Entschlüsselungs-Tools
Das von den Forschern erstellte Entschlüsselungs-Tool basiert auf ihren Erkenntnissen und ermöglicht es Betroffenen, ihre verschlüsselten Daten vollständig wiederherzustellen. Das Tool wird auf den offiziellen Seiten der Korea Internet & Security Agency (KISA) bereitgestellt.
Weitere Erkenntnisse & Hintergründe
Die Verwendung von Pseudo-Zufallszahlengeneratoren zur Erstellung kryptografischer Schlüssel ist gängige Praxis, da echte Zufallszahlen auf deterministischen Systemen wie Computern oft nicht verfügbar sind. Entscheidend ist dabei jedoch, den PRNG mit einem nicht rekonstruierbaren echten Zufallswert zu initialisieren – etwas, das bei Rhysida missachtet wurde.
Laut einem Post auf der Social-Media-Plattform X waren die südkoreanischen Forscher nicht die Ersten die diesen Fehler bemerkten. Bereits mehrere andere Experten entwickelten ähnliche Entschlüsselungs-Tools und halfen Opfern seit Monaten bei der Datenwiederherstellung.
Falls Sie weiterhin darüber erfahren möchten, ebenso wie Sie sich vor Ransomware-Angriffen schützen können, sei Ihnen der Ransomware-Crashkurs am 21. und 22. Februar empfohlen.
Kommentare