Beheer
Ransomwareredding dankzij encryptiefout van afpersers
Beruchte cybercrimebende heeft zichzelf maanden aan losgeld gekost.
Beruchte cybercrimebende heeft zichzelf maanden aan losgeld gekost.
Slachtoffers van de Cl0p-ransomware die hun Linux-servers gegijzeld zagen worden, hebben stilletjes hun data weer kunnen bevrijden. De relatief nieuwe Linux-uitvoering van die malware voor gegevensgijzeling blijkt namelijk een fout te bevatten. Daardoor is decryptie mogelijk zónder de afpersers te betalen.
De Linux-ransomware van de Cl0p-cybercrimebende is in december vorig jaar ontdekt door securitybedrijf SentinelLabs. Cybercriminelen gebruikten toen de al bekende Windows-uitvoering samen met de nieuwe Linux-malware om een universiteit in Colombia aan te vallen. De Linux-uitvoering is gemaakt om servers met het veelgebruikte opensourcebesturingssysteem te pakken. De aanvallers hebben het daarbij gemunt op Oracle-databases.
Gratis ontsleutelen
Terwijl beide varianten dezelfde encryptiemethode gebruiken, hebben de cybercriminelen fundamentele fouten gemaakt in hun versleuteling op Linux-systemen. Zo gebruikt die gijzelingssoftware een intern vastgelegde (hardcoded) hoofdsleutel om de encryptiesleutels aan te maken. Die hoofdsleutel wordt ook niet gevalideerd. Door deze fouten is het mogelijk om de sleutels te achterhalen en de datagijzeling ongedaan te maken.
Securitybedrijf SentinelLabs biedt gratis een Python-script aan om dit bevrijdingswerk te verrichten. Die softwarecode voor decryptie is beschikbaar op ontwikkelplatform GitHub. De Linux-ransomware van Cl0p blijkt nog vrij pril te zijn qua ontwikkeling. Het heeft diverse mogelijkheden niet die de Windows-tegenhanger wel heeft.
Techjournalist, ICT-kenner en contentproducent bij AG Connect.