Eine Version eines Open-Source-Ransomware-Toolkits namens Cryptonite wurde in freier Wildbahn mit Wiper-Funktionen aufgrund seiner „schwachen Architektur und Programmierung“ beobachtet.
Im Gegensatz zu anderen Ransomware-Stämmen ist Cryptonite im cyberkriminellen Untergrund nicht käuflich zu erwerben und wurde stattdessen von einem Akteur namens CYBERDEVILZ bis vor kurzem über ein GitHub-Repository kostenlos angeboten. Der Quellcode und seine Forks wurden inzwischen entfernt.
Die in Python geschriebene Malware verwendet das Fernet-Modul des Kryptografie-Pakets, um Dateien mit der Erweiterung „.cryptn8“ zu verschlüsseln.
Ein neues Beispiel, das von Fortinet FortiGuard Labs analysiert wurde, sperrt Dateien ohne die Möglichkeit, sie wieder zu entschlüsseln, und wirkt somit wie ein zerstörerischer Datenwischer.
Diese Änderung ist jedoch kein absichtlicher Versuch des Bedrohungsakteurs, sondern rührt von einer mangelnden Qualitätssicherung her, die das Programm zum Absturz bringt, wenn es versucht, die Lösegeldforderung nach Abschluss des Verschlüsselungsvorgangs anzuzeigen.
„Das Problem bei dieser Schwachstelle ist, dass es aufgrund der Einfachheit des Designs der Ransomware keine Möglichkeit gibt, die verschlüsselten Dateien wiederherzustellen, wenn das Programm abstürzt – oder sogar geschlossen wird“, so Fortinet-Forscher Gergely Revay in einem Bericht vom Montag.
Die Ausnahme, die während der Ausführung des Ransomware-Programms ausgelöst wird, bedeutet auch, dass der „Schlüssel“, der zur Verschlüsselung der Dateien verwendet wird, niemals an die Betreiber übermittelt wird, wodurch die Benutzer keinen Zugriff auf ihre Daten haben.
Die Ergebnisse sind vor dem Hintergrund einer sich entwickelnden Ransomware-Landschaft zu sehen, in der zunehmend Wiper unter dem Deckmantel von dateiverschlüsselnder Malware eingesetzt werden, um Daten zu überschreiben, ohne eine Entschlüsselung zu ermöglichen.
Fanden Sie diesen Artikel interessant? Folgen Sie uns auf Twitter und LinkedIn, um weitere exklusive Inhalte von uns zu lesen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
Rackspace stellt Systeme nach Sicherheitsvorfall wieder her