Verschlüsselung unvollständig: Akira-Hacker werden nachlässig

Verschlüsselung unvollständig: Akira-Hacker werden nachlässig

Beitrag teilen

Viele Unternehmen geben im Fall eines Ransomware-Angriffs nach und zahlen Lösegeld an die Kriminellen. Aber auch die Angreifer unterliegen Zeitdruck und werden bei der Verschlüsselung nachlässig. Es kann sich für Unternehmen lohnen, nach unverschlüsselten Teilen auf den Festplatten zu suchen. Hier am Beispiel eines Akira-Angriffs.

Ein Beispiel aus der Arbeit des DCSO Incident Response Team (DIRT) zeigt, warum das passiert und wie sich diese Situation für die Wiederherstellung der Daten nutzen lässt. Die Expert:innen der DCSO wurden von einem Opfer der Ransomware Akira beauftragt, die betroffenen geschäftskritischen Daten wiederherzustellen. Bei diesem Vorfall verschafften sich die Angreifer erfolgreich Zugriff auf den ESXi-Hypervisor und konnten so die Linux-Version der Ransomware Akira auf dem System installieren. Sie fuhren alle virtuellen Maschinen herunter und verschlüsselten die entsprechenden .vmdk-Dateien (virtuelle Festplatten).

Anzeige

Akira-Gruppe hatte die Daten verschlüsselt

Für eine möglichst schnelle Wiederherstellung der Daten startete das DCSO-Team ein Linux-Betriebssystem auf dem ESXi-Host, ohne es zu installieren. Anschließend kam eine Ersatzfestplatte der gleichen Größe wie beim ESXi-Datenspeicher für die Wiederherstellung zum Einsatz.

Nach dem Booten des Linux-Betriebssystems musste das Team zunächst den ESXi-Datenspeicher identifizieren, der das „VMware VMFS“-Dateisystem verwendet. Hier sind alle virtuellen Festplatten (.vmdk) gespeichert. Dazu wurde das Ergebnis des Linux-Befehls fdisk nach dem „VMware VMFS“-Dateisystem durchsucht.

Es trat jedoch eine Fehlermeldung in „vmfs-tools“ auf, die das Aufspielen eines bestehenden Patches erforderte. Danach ließ sich der Inhalt der betroffenen virtuellen Festplatten lesen, die allerdings immer noch verschlüsselt waren.

Viele Dateien nur teilweise verschlüsselt

Es ist ein weit verbreiteter Irrglaube, dass mit Ransomware verschlüsselte Dateien nicht wiederhergestellt werden können. Dies hängt jedoch von der Art der verschlüsselten Datei, ihrer Größe und der Art und Weise ab, wie die Verschlüsselung durchgeführt wurde.

Bei diesem Vorfall verschlüsselte Akira die virtuelle Festplatte der VM nur teilweise. Damit erreichen die Angreifer eine viel höhere Geschwindigkeit der Verschlüsselung und das Opfer hat weniger Zeit zum Reagieren. Außerdem basieren die meisten Erkennungslogiken auf der Annahme einer vollständigen Verschlüsselung und den entsprechenden Auswirkungen auf die CPU-Auslastung, der Ähnlichkeit zwischen unverschlüsselten und verschlüsselten Dateien und der E/A-Rate.

Das DCSO-Team versuchte daher zunächst, die nicht verschlüsselten Partitionen auf der Festplatte der VM wiederherzustellen. Dazu war eine intakte NTFS-Partition in den unverschlüsselten Teilen zu finden. Dies gelang mit einem eigens entwickelten Bash-Skript. Anschließend begann die Wiederherstellung der geschäftskritischen Daten mit Hilfe von Sleuth Kit.

Fazit: Unverschlüsselte Teile helfen bei der Wiederherstellung

Da verschiedene Ransomware-Varianten Dateien nur teilweise verschlüsseln, lohnt es sich, NTFS-Partitionen in betroffenen virtuellen Festplatten daraufhin zu durchsuchen. Unverschlüsselte Teile erleichtern den Security-Teams die Wiederherstellung großer Datenmengen. Allerdings sollten sie dazu erst den erforderlichen Patch auf „vmfs-tools“ anwenden, wenn sie die Software aus den Repositories ihrer Linux-Distribution installiert haben.

Mehr bei DCSO.de

 


Über die DCSO Deutsche Cyber-Sicherheitsorganisation

Die 2015 gegründete DCSO Deutsche Cyber-Sicherheitsorganisation GmbH bietet der deutschen Wirtschaft einen geschützten und herstellerneutralen Raum zur Zusammenarbeit in allen Fragen der Cybersicherheit und entwickelt modernste Dienstleistungen für eine effektive und effiziente Cyberabwehr.


Passende Artikel zum Thema

Cybersicherheit: Trends in 2025

2025 wird die Cybersicherheit von Unternehmen durch komplexere Bedrohungen gefährdet sein. Zwei Experten eines führenden Cybersicherheits-Unternehmens stellen ihre Prognosen vor ➡ Weiterlesen

Große Sprachmodelle (LLMs) und die Data Security

Angesichts der rasanten KI-Entwicklung mit LLMs wird immer deutlicher, dass die grundlegenden Leitplanken, Plausibilitätsprüfungen und Prompt-basierten Sicherheitsmaßnahmen, die derzeit gelten, ➡ Weiterlesen

Verschlüsselte Angriffe nehmen zu

Ein Anbieter von Cloud-Sicherheit veröffentlicht mit dem ThreatLabz 2024 Encrypted Attacks Report eine Analyse der neuesten Bedrohungen. Verschlüsselter Datenverkehr entwickelte ➡ Weiterlesen

Cybersicherheit gewinnt an Priorität in der Führungsetage

Die Umfrage eines Softwareunternehmens unter IT- und Cybersecurity-Fachkräften zeigte, dass Unternehmen bereit sind, mehr Geld für Cybersicherheit auszugeben. Neue Security-Tools ➡ Weiterlesen

NIS2-Richtlinie: So bewältigen Unternehmen die Herausforderung

Die NIS2-Richtlinie verschärft die Anforderungen an die Cybersicherheit von Unternehmen. Dies führt für Unternehmen mit kritischen Infrastrukturen zu hohen Investitionen ➡ Weiterlesen

Die zehn größten Datenpannen im Jahr 2024

Datenpannen sorgen nicht nur für häufige, aufmerksamkeitsstarke Schlagzeilen – sie sind eine deutliche Erinnerung an die Schwachstellen, die in vielen ➡ Weiterlesen

Quantenresistenz wird 2025 immer wichtiger

Laut den Vorhersagen eines führenden Anbieters für Cybersicherheitslösungen werden Unternehmen in 2025 ihre Cybersicherheitsstrategien anpassen: Sie werden erste Schritte in ➡ Weiterlesen

IT-Security 2025: Datenzerstörung und Social Engineering mit KI

In 2025 steigt das Risiko eines Datenverlusts für Unternehmen stark an, denn es gibt aktuell viele Angreifer, die Daten löschen ➡ Weiterlesen