Viele Unternehmen geben im Fall eines Ransomware-Angriffs nach und zahlen Lösegeld an die Kriminellen. Aber auch die Angreifer unterliegen Zeitdruck und werden bei der Verschlüsselung nachlässig. Es kann sich für Unternehmen lohnen, nach unverschlüsselten Teilen auf den Festplatten zu suchen. Hier am Beispiel eines Akira-Angriffs.
Ein Beispiel aus der Arbeit des DCSO Incident Response Team (DIRT) zeigt, warum das passiert und wie sich diese Situation für die Wiederherstellung der Daten nutzen lässt. Die Expert:innen der DCSO wurden von einem Opfer der Ransomware Akira beauftragt, die betroffenen geschäftskritischen Daten wiederherzustellen. Bei diesem Vorfall verschafften sich die Angreifer erfolgreich Zugriff auf den ESXi-Hypervisor und konnten so die Linux-Version der Ransomware Akira auf dem System installieren. Sie fuhren alle virtuellen Maschinen herunter und verschlüsselten die entsprechenden .vmdk-Dateien (virtuelle Festplatten).
Akira-Gruppe hatte die Daten verschlüsselt
Für eine möglichst schnelle Wiederherstellung der Daten startete das DCSO-Team ein Linux-Betriebssystem auf dem ESXi-Host, ohne es zu installieren. Anschließend kam eine Ersatzfestplatte der gleichen Größe wie beim ESXi-Datenspeicher für die Wiederherstellung zum Einsatz.
Nach dem Booten des Linux-Betriebssystems musste das Team zunächst den ESXi-Datenspeicher identifizieren, der das „VMware VMFS“-Dateisystem verwendet. Hier sind alle virtuellen Festplatten (.vmdk) gespeichert. Dazu wurde das Ergebnis des Linux-Befehls fdisk nach dem „VMware VMFS“-Dateisystem durchsucht.
Es trat jedoch eine Fehlermeldung in „vmfs-tools“ auf, die das Aufspielen eines bestehenden Patches erforderte. Danach ließ sich der Inhalt der betroffenen virtuellen Festplatten lesen, die allerdings immer noch verschlüsselt waren.
Viele Dateien nur teilweise verschlüsselt
Es ist ein weit verbreiteter Irrglaube, dass mit Ransomware verschlüsselte Dateien nicht wiederhergestellt werden können. Dies hängt jedoch von der Art der verschlüsselten Datei, ihrer Größe und der Art und Weise ab, wie die Verschlüsselung durchgeführt wurde.
Bei diesem Vorfall verschlüsselte Akira die virtuelle Festplatte der VM nur teilweise. Damit erreichen die Angreifer eine viel höhere Geschwindigkeit der Verschlüsselung und das Opfer hat weniger Zeit zum Reagieren. Außerdem basieren die meisten Erkennungslogiken auf der Annahme einer vollständigen Verschlüsselung und den entsprechenden Auswirkungen auf die CPU-Auslastung, der Ähnlichkeit zwischen unverschlüsselten und verschlüsselten Dateien und der E/A-Rate.
Das DCSO-Team versuchte daher zunächst, die nicht verschlüsselten Partitionen auf der Festplatte der VM wiederherzustellen. Dazu war eine intakte NTFS-Partition in den unverschlüsselten Teilen zu finden. Dies gelang mit einem eigens entwickelten Bash-Skript. Anschließend begann die Wiederherstellung der geschäftskritischen Daten mit Hilfe von Sleuth Kit.
Fazit: Unverschlüsselte Teile helfen bei der Wiederherstellung
Da verschiedene Ransomware-Varianten Dateien nur teilweise verschlüsseln, lohnt es sich, NTFS-Partitionen in betroffenen virtuellen Festplatten daraufhin zu durchsuchen. Unverschlüsselte Teile erleichtern den Security-Teams die Wiederherstellung großer Datenmengen. Allerdings sollten sie dazu erst den erforderlichen Patch auf „vmfs-tools“ anwenden, wenn sie die Software aus den Repositories ihrer Linux-Distribution installiert haben.
Mehr bei DCSO.de
Über die DCSO Deutsche Cyber-Sicherheitsorganisation
Die 2015 gegründete DCSO Deutsche Cyber-Sicherheitsorganisation GmbH bietet der deutschen Wirtschaft einen geschützten und herstellerneutralen Raum zur Zusammenarbeit in allen Fragen der Cybersicherheit und entwickelt modernste Dienstleistungen für eine effektive und effiziente Cyberabwehr.