Ransomware, der ikke kan dekryptere

’Dårligt design’ sletter data.

Researchere advarer om, at en nyligt afsløret ransomwaretype ikke er i stand til at dekryptere filer. I stedet ødelægger ransomwaren filerne. Det skriver ZDnet i en artikel i sidste uge med henvisning til noget ransomware, der angiveligt dukkede op første gang i oktober.  

Ransomwaren har fået navnet Cryptonite, den er kodet i Python og skal være en del af et open source-tool, der er ligger til gratis download for alle, der ellers har færdighederne til at implementere det i angreb mod Microsoft Windows-systemer. Leveringsmetoden er som altid phishingangreb.

Wiper

Det er researchere har Fortinet, der har kigget nærmere på Cryptonite. Det viser sig, at ransomwaren kun har 'barebones'-funktionalitet og overhovedet ikke indeholder funktioner til dekryptering af filer, selvom der måtte blive betalt løsesum. I stedet fungerer Cryptonite i praksis som wiper-malware, der ødelægger de krypterede filer og efter det oplyste ikke efterlader mulighed for at retablere data. Dermed lægges der ved til det større og større bål af malwaretyper, der ikke laver andet end at slette filer. En metode, som iranske statssponserede aktører ifølge Microsofts Digital Defense Report er set benytte sig af. Altså destruktive cyberangreb.

Men ifølge researcherne er Cryptonite ikke udspekuleret, det er blot dårligt sat sammen og eller også fungerer det ikke korrekt. Det skal forstås på den måde, at hvis Cryptonite går ned eller bare lukkes, så er der ingen mulighed for at gendanne krypterede filer.

Mangel på kompetencer?

Tilsyneladende er der heller ikke mulighed for at køre det kun i dekrypteringstilstand. Hver gang ransomwaren køres, genkrypterer den alt med en anden nøgle. Det betyder, at selv hvis der var en måde at gendanne filerne på, ville den unikke nøgle sandsynligvis ikke fungere – og det betyder, at der er ingen mulighed for at gendanne de krypterede data. Fortinet vurderer, at ransomwaren er dårligt designet, og at det gør den til en wiper, hvor datagendannelse ikke er mulig.

En interessant iagttagelse gør Fortinets medarbejder: ’Selvom vi ofte klager over den stigende sofistikering af ransomware, kan vi også se, at oversimplicitet og mangel på kvalitetssikring også kan føre til betydelige problemer’.

Det kan være et udtryk for, at også cyberkriminelle har travlt med at opretholde deres forretning. Det kan også være et udtryk for mangel på kompetencer – at de dygtige cyberkriminelle er optaget af andre sager, fx statssponserede aktiviteter i den hybride krig, der er i gang i øjeblikket.  

Hold antivirussoftware opdateret

Den lidt gode nyhed, skriver ZDnet, er, at det nu er sværere for wannabe cyberkriminelle at få fingrene i Cryptonite, da den originale kildekode er blevet fjernet fra GitHub. En anden ting er, at det dårligt designede malware gør, at det er nemt for antivirussoftware at opdage. Også derfor skal/bør man installere antivirussoftware og holde det opdateret.

Endelig er sagen her en påmindelse om, at betaling til ransomware er en dårlig ide. Der ingen sikkerhed for, at man får sine data igen. Til gengæld er man sikker på, at man er med til at finansiere ransomwareaktørers aktiviteter.

Links:

https://www.zdnet.com/article/this-badly-made-ransomware-cant-decrypt-your-files-even-if-you-pay-the-ransom/

https://cert.dk/da/news/2022-11-07/Microsoft-Foruroligende-stigning-i-nationalstaters-angreb