Die Kehrseite des „Debuggens“ von Ransomware

Ransomware – die Sicherheitsplage der modernen, digitalen Welt – wird immer gefährlicher. War Benutzer darüber aufklären, was zu tun ist, aber es ist schwer, der Killerverschlüsselung einen Schritt voraus zu sein, die großzügig um Schichten verschleierter digitaler Spuren gestreut ist, die die Taten der Bösewichte und Ihre Dateien verbergen. Unterdessen begräbt die Maut Unternehmen und bindet dem Gesetzgeber die Hände, der um eine Lösung bittet. Aber wenn wir die Schlüssel zu Ransomware knacken, helfen wir dann nicht einfach den Bösewichten, es beim nächsten Mal besser zu machen?

Anfang dieses Monats bei einer digitalen Werkstatt Im Herzen der Tschechischen Republik teilten Entwickler von Ransomware-Entschlüsselern den Teilnehmern mit, wie sie einen Teil des Codes geknackt und die Daten der Benutzer zurückbekommen haben. Durch sorgfältige Analyse fanden sie manchmal Fehler in den Implementierungen oder Operationen der Angreifer, die es ihnen ermöglichten, den Verschlüsselungsprozess rückgängig zu machen und die verschlüsselten Dateien wiederherzustellen.

Aber als die Guten das Tool der Öffentlichkeit ankündigen, konfigurieren die Betrüger ihre Waren schnell mit Taktiken neu, die „völlig unhackbarer“ sind, und hindern die Forscher daran, den nächsten Stapel von Dateien zu knacken. Im Grunde debuggen die Forscher die Waren der Betrüger für sie in einem nicht tugendhaften Kreislauf.

Also reparieren wir es nicht, wir jagen es, reagieren darauf, übermalen den Schaden. Aber jeder Erfolg kann vorübergehend sein, da eine Erholung von dem Großteil der Verwüstung für die kleinen Unternehmen, die dies gespürt haben, unmöglich bleibt musste zahlen, um im Geschäft zu bleiben.

Regierungen sind – bei aller guten Absicht – auch reaktiv. Sie können empfehlen, bei der Reaktion auf Vorfälle helfen und vielleicht ihre Unterstützung schicken, aber das ist auch reaktiv und bietet einem frisch ausgeweideten Unternehmen wenig Trost.

Also wechseln sie zu Finanzen verfolgen. Aber die Bösewichte sind normalerweise gut darin, sich zu verstecken – sie können sich all die guten Werkzeuge leisten, indem sie das große Geld bezahlen, das sie gerade gestohlen haben. Und ehrlich gesagt wissen sie vielleicht mehr als viele Regierungsakteure. Es ist, als würde man einen F1-Rennwagen mit einem halbwegs schnellen Pferd jagen.

In jedem Fall müssen Forscher mehr als nur Betatester für die Bösewichte sein.

Sie können die Tools der Cyberkriminellen nicht nur erkennen und blockieren, da sie Standard-Systemtools nutzen können, die für den täglichen Betrieb Ihres Computers verwendet werden. Sie können sogar als Teil des Betriebssystems ausgeliefert werden. Open-Source-Tools sind der Kitt, der das gesamte System zusammenhält, können aber auch der Kitt sein, der den Ransomware-Verschlüsselungsprozess zusammenhält, der das System blockiert.

Dann müssen Sie nur noch bestimmen, wie die Kriminellen vorgehen. In einer Mechanikerwerkstatt einen Hammer in der Hand zu haben, ist nicht schlecht, bis Sie gegen ein Fenster schwingen, um es zu zerbrechen. Ebenso kann das Erkennen einer verdächtigen Aktion den Beginn eines Angriffs erkennen. Aber dies mit der Geschwindigkeit neuer Angriffsvarianten zu tun, ist schwierig.

Hier in Europa gibt es erhebliche Anstrengungen, Regierungen aus verschiedenen Ländern einzuberufen, um Informationen über Ransomware-Trends auszutauschen, aber die Gruppen, die dies anführen, sind nicht direkt Strafverfolgungsbehörden; Sie können nur hoffen, dass die Strafverfolgungsbehörden schnell handeln. Aber das passiert nicht mit der Geschwindigkeit von Malware.

Die Cloud hat definitiv geholfen, da Sicherheitslösungen sie nutzen können, um minutengenaue Szenarien vor dem Angriff zu veröffentlichen, die Ihr Computer auslösen sollte, um einen Angriff zu stoppen.

Und es verkürzt die Lebensdauer effektiver Ransomware-Tools und -Techniken, sodass sie nicht viel Geld verdienen. Es kostet die Bösewichte Geld, gute Ransomware zu entwickeln, und sie wollen eine Amortisation. Wenn ihre Payloads nur ein- oder zweimal funktionieren, zahlt sich das nicht aus. Wenn es sich nicht auszahlt, werden sie etwas anderes tun, das es tut, und vielleicht können Organisationen wieder ins Geschäft zurückkehren.

Sichern Sie das Laufwerk

Ein Profi-Tipp von der Konferenz: Sichern Sie Ihre verschlüsselten Daten, wenn Sie von Ransomware getroffen werden. Falls irgendwann ein Entschlüsseler veröffentlicht wird, haben Sie in Zukunft möglicherweise immer noch die Möglichkeit, verlorene Dateien wiederherzustellen. Nicht, dass es dir jetzt hilft.

Der beste Zeitpunkt, um Dinge zu sichern, ist natürlich, wenn Sie nicht von Ransomware erpresst werden, aber es ist nie zu spät, damit anzufangen. Obwohl es zu diesem Zeitpunkt über ein Jahrzehnt alt ist, ist der Leitfaden von WeLiveSecurity zu Backup-Grundlagen bietet weiterhin praktische Informationen bietet praktische Informationen darüber, wie Sie das Problem angehen und eine Lösung entwickeln können, die für Ihr Zuhause oder Ihr kleines Unternehmen geeignet ist.

ESET gegen Ransomware

Falls Sie sich fragen, wo ESET bei der Entwicklung von Ransomware-Entschlüsselern steht, verfolgen wir einen gemischten Ansatz: Wir möchten Menschen vor Ransomware (die wir oft als Diskcoder- oder Filecoder-Malware klassifizieren) schützen und Möglichkeiten zur Wiederherstellung von Daten bieten. Gleichzeitig möchten wir die kriminellen Banden hinter dieser Geißel nicht darauf aufmerksam machen, dass wir das technologische Äquivalent zum Öffnen ihrer verschlossenen Türen mit einem Satz digitaler Dietriche durchgeführt haben.

In einigen Fällen wird möglicherweise ein Entschlüsseler veröffentlicht und der Öffentlichkeit über einen Artikel in der ESET-Knowledgebase zur Verfügung gestellt Eigenständige Tools zum Entfernen von Malware. Zum Zeitpunkt der Veröffentlichung haben wir dort derzeit etwa ein halbes Dutzend Entschlüsselungstools verfügbar. Andere solche Tools sind auf der verfügbar Website der No More Ransom-Initiative, bei der ESET seit 2018 assoziierter Partner ist. In anderen Fällen schreiben wir zwar Entschlüsseler, veröffentlichen aber keine Informationen darüber.

Die Kriterien dafür, ob bekannt gegeben werden soll, dass ein Entschlüsselungsprogramm veröffentlicht wurde, variieren je nach Ransomware. Diese Entscheidungen basieren auf einer sorgfältigen Bewertung vieler Faktoren, wie z. B. wie verbreitet die Ransomware ist, wie schwerwiegend sie ist, wie schnell die Ransomware-Autoren Codierungsfehler und Mängel in ihrer eigenen Software beheben und so weiter.

Selbst wenn sich Parteien mit der Bitte um Unterstützung bei der Entschlüsselung ihrer Daten an ESET wenden, werden spezifische Informationen darüber, wie die Entschlüsselung durchgeführt wurde, nicht öffentlich weitergegeben, damit die Entschlüsselung so lange wie möglich funktioniert. Wir sind der Meinung, dass dies den besten Kompromiss zwischen dem Schutz der Kunden vor Ransomware und der Möglichkeit bietet, möglichst lange bei der Entschlüsselung von Ransomware-Dateien zu helfen. Sobald Kriminelle erkennen, dass ihre Verschlüsselung Lücken aufweist, können sie diese möglicherweise beheben. Es kann jedoch lange dauern, bis weitere Schwachstellen gefunden werden, die eine Wiederherstellung der Daten ermöglichen, ohne dass der Eigentümer erpresst wird.

Der Umgang mit Ransomware, sowohl ihren Betreibern als auch dem Ransomware-Code selbst, ist ein kniffliger Prozess, und es ist oft ein Schachspiel, das Wochen oder Monate oder sogar Jahre dauern kann, wenn die Guten gegen die Bösen kämpfen. ESET versucht, so viel Gutes wie möglich zu tun, was bedeutet, so vielen Menschen wie möglich so lange wie möglich zu helfen. Das bedeutet auch, dass Sie die Hoffnung nicht aufgeben sollten, wenn Sie auf ein von Ransomware betroffenes System stoßen. Es besteht immer noch die Möglichkeit, dass ESET Ihnen bei der Wiederherstellung Ihrer Daten behilflich sein kann.

Ransomware mag ein Problem sein, das so schnell nicht verschwinden wird, aber ESET ist bereit, Sie davor zu schützen. Es von vornherein zu verhindern ist jedoch immer noch viel besser als es zu heilen.