Ransomware: Entschlüsselung dank Schwäche in "Blackbyte"-Code

Eine Analyse des BlackByte-Codes zeigt, dass bei Ransomware längst nicht nur Profis am Werk sind. Leere Drohungen und ein Gratis-Werkzeug lassen Opfer aufatmen.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen
Schlüssel

(Bild: Daniel AJ Sokolov)

Lesezeit: 4 Min.
Inhaltsverzeichnis

BlackByte-Opfer dürfen hoffen: Kostenfrei verfügbare Software entschlüsselt beliebige Dateien, die zuvor von der Ransomware BlackByte verschlüsselt wurden. Das SpiderLabs-Team von Trustwave hat es geschafft, eine Schwäche im Schadcode zu finden und im Sinne der Opfer auszunutzen.

Dabei ist es immer seltener möglich, auf Basis einer Ransomware-Analyse ein Entschlüsselungstool zu bauen. Die Nutzung und zumeist auch fehlerfreie Implementierung asymmetrischer Verschlüsselungsverfahren, bei denen der Private Key nur den Kriminellen bekannt und auf dem angegriffenen System nicht präsent ist, ist zum Regelfall geworden. Umso erfreulicher ist der Erfolg SpiderLabs'.

Die BlackByte-Bande ist im Vergleich zu Szene-Größen wie REvil oder Ryuk eher unbekannt. Das hält die Täter nicht davon ab, das Geschäftsgebaren der größeren Verbrecher nachzuahmen. Beispielsweise droht BackByte auf einer Darknet-Site damit, Daten namentlich genannter Firmen im Falle der Nichtzahlung zu veröffentlichen.

Im Hinblick auf diese Drohungen offenbart die Trustwave-Analyse die fast erfrischende Unprofessionalität der Gang: Der BlackByte-Schadcode besitzt nämlich gar keine Funktionalität zum Exfiltrieren von Daten. Opfer können also nicht nur im Hinblick auf die Wiederherstellung, sondern auch auf drohende Veröffentlichung ihrer Dokumente ein wenig aufatmen.

Zur Ver- und auch zur Entschlüsselung der Dateien auf einem Rechner verwendet BlackByte im Gegensatz zu den Profi-Vorbildern laut SpiderLabs-Team kein asymmetrisches Verfahren, sondern das symmetrische Verschlüsselungsverfahren AES. Zudem variiert der verwendete Schlüssel auch nicht je nach System: Die Malware-Macher halten einen festen "Raw Key" in einer Datei mit .png-Endung (forest.png im Fall der aktuellen Analyse) auf ihren Servern bereit.

Diese Datei wird im Zuge der Verschlüsselung vom BlackByte-Schadcode nachgeladen und dauerhaft auf dem jeweiligen System hinterlegt. Solange forest.png auf den Servern nicht ausgetauscht wird, kommt also auf jedem System im Wesentlichen derselbe Raw Key (=hQ;d'%44eLHt!W8AU9y?(FO:<swB[F#<F) zum Einsatz.

Die Erpresserbotschaft enthält bereits den (wenn auch verschlüsselten) "Raw Key", den man zur Entschlüsselung braucht.

(Bild: trustwave.com)

Ein wenig getarnt und abgeschwächt wird die Einfachheit des Vorgehens dadurch, dass der Raw Key auf dem System durch den Schadcode mehrfach "weiterverarbeitet" wird: Er kommt 3DES-verschlüsselt dort an und wird dann entschlüsselt. Anschließend kommt die genormte Funktion PBKDF2 (Password-Based Key Derivation Function 2) zum Einsatz, um aus dem Raw Key einen für AES-128 verwendbaren Schlüssel abzuleiten.

Auch das asymmetrische RSA-Verfahren bemühen die Malware-Macher an einer Stelle – allerdings nur, um den auf diese Weise verschlüsselten Raw Key einmalig in der Erpresserbotschaft anzeigen zu können. Der hierbei verwendete Public Key ist fest in einem Schadcode-Modul hinterlegt.

Mit dem "Raw Key" stellt BlackByte so einiges an. Die Forscher fanden dennoch alle nötigen Infos zum Entschlüsseln.

(Bild: trustwave.com)

All diese Vorgänge ändern letztlich nichts daran, dass alle Informationen zum Ver- und eben auch Entschlüsseln der Dateien in forest.png enthalten sind. Dementsprechend wendet auch das Entschlüsselungstool von SpiderLabs die Informationen aus forest.png auf verschlüsselte Dateien oder Verzeichnisse an – ebenso wie es letztlich auch der Schadcode im Falle einer Zahlung getan hätte.

Die Täter fürchten nun finanzielle Einbußen durch das Entschlüsselungswerkzeug. Laut eines Berichts des Sicherheitsforschers Graham Cluley rät die Bande davon ab, das Entschlüsselungstool zu verwenden. Sie behauptet, in Wirklichkeit gar nicht nur einen einzigen Schlüssel zu verwenden und warnt davor, dass das Werkzeug die verschlüsselten Dateien möglicherweise unwiderbringlich zerstören könnte. Nutzer dürften sich dafür dann bei "SpiderLabs aka ClownLabs" bedanken, schließen die ganz offensichtlich angefressenen Ransomware-Macher.

Völlig richtig (und wichtig) ist der an dieser Stelle von Cluley ergänzte Ratschlag, vor dem Entschlüsselungsversuch unbedingt ein Backup durchzuführen. Denn tatsächlich ist vorstellbar, dass forest.png beziehungsweise deren Inhalt in der Vergangenheit hin und wieder verändert wurde.

Wer tiefer in die BlackByte-Analyse einsteigen will, mag einen Blick auf SpiderLabs zweiteiligen technischen Blogbeitrag werfen:

(ovw)